本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 3:設定 Web 伺服器
更新 Web 伺服器軟體組態,以使用 HTTPS 憑證以及您在 上一個步驟中建立的對應仿造 PEM 私有金鑰。請記得在開始之前備份現有的憑證和金鑰。這將完成針對 SSL/TLS 卸載搭配 AWS CloudHSM設定您的 Linux Web 伺服器軟體。
完成以下其中一個區段中的步驟。
設定 NGINX Web 伺服器
使用此區段可在支援的平台上設定 NGINX。
更新 NGINX 的 Web 伺服器組態
-
連接至您的用戶端執行個體。
-
執行以下命令,為 Web 伺服器憑證和仿造 PEM 私有金鑰建立所需的目錄。
$sudo mkdir -p /etc/pki/nginx/private -
執行以下命令,將您的 Web 伺服器憑證複製到所需的位置。以 Web 伺服器憑證的名稱取代
<web_server.crt>。$sudo cp<web_server.crt>/etc/pki/nginx/server.crt -
執行以下命令,將您的仿造 PEM 私有金鑰複製到所需的位置。以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。$sudo cp<web_server_fake_PEM.key>/etc/pki/nginx/private/server.key -
執行以下命令來變更檔案的擁有權,使得名為 nginx 的使用者可讀取這些檔案。
$sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key -
執行以下命令來備份
/etc/nginx/nginx.conf檔案。$sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup -
更新 NGINX 組態。
注意
每個叢集可以在所有 NGINX Web 伺服器上支持最多 1000 個 NGINX 工作者程序。
- Amazon Linux
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:-
如果使用用戶端 SDK 3
ssl_engine cloudhsm; env n3fips_password; -
如果使用用戶端 SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- Amazon Linux 2
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:-
如果使用用戶端 SDK 3
ssl_engine cloudhsm; env n3fips_password; -
如果使用用戶端 SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- CentOS 7
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:-
如果使用用戶端 SDK 3
ssl_engine cloudhsm; env n3fips_password; -
如果使用用戶端 SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- CentOS 8
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:ssl_engine cloudhsm; env CLOUDHSM_PIN;然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Red Hat 7
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:-
如果使用用戶端 SDK 3
ssl_engine cloudhsm; env n3fips_password; -
如果使用用戶端 SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- Red Hat 8
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:ssl_engine cloudhsm; env CLOUDHSM_PIN;然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 16.04 LTS
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:ssl_engine cloudhsm; env n3fips_password;然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 18.04 LTS
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:ssl_engine cloudhsm; env CLOUDHSM_PIN;然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 20.04 LTS
-
使用文字編輯器來編輯
/etc/nginx/nginx.conf檔案。這需要 Linux 根許可。在檔案上方,新增下列行:ssl_engine cloudhsm; env CLOUDHSM_PIN;然後將以下內容新增至檔案的 TLS 區段:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
儲存檔案。
-
備份
systemd組態檔案,然後設定EnvironmentFile路徑。- Amazon Linux
-
不需要採取行動。
- Amazon Linux 2
-
-
備份
nginx.service檔案。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
在文字編輯器中開啟
/lib/systemd/system/nginx.service檔案,然後在 [Service] (服務) 區段中,新增以下路徑:EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
不需要採取行動。
- CentOS 8
-
-
備份
nginx.service檔案。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
在文字編輯器中開啟
/lib/systemd/system/nginx.service檔案,然後在 [Service] (服務) 區段中,新增以下路徑:EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
不需要採取行動。
- Red Hat 8
-
-
備份
nginx.service檔案。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
在文字編輯器中開啟
/lib/systemd/system/nginx.service檔案,然後在 [Service] (服務) 區段中,新增以下路徑:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
備份
nginx.service檔案。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
在文字編輯器中開啟
/lib/systemd/system/nginx.service檔案,然後在 [Service] (服務) 區段中,新增以下路徑:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
備份
nginx.service檔案。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
在文字編輯器中開啟
/lib/systemd/system/nginx.service檔案,然後在 [Service] (服務) 區段中,新增以下路徑:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
備份
nginx.service檔案。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
在文字編輯器中開啟
/lib/systemd/system/nginx.service檔案,然後在 [Service] (服務) 區段中,新增以下路徑:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
檢查
/etc/sysconfig/nginx檔案是否存在,然後執行以下其中一項:-
如果檔案存在,請執行下列命令來備份檔案:
$sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup -
如果檔案不存在,請開啟文字編輯器,然後建立在
/etc/sysconfig/資料夾中建立名為nginx的檔案。
-
-
設定 NGINX 環境。
注意
用戶端 SDK 5 引入了用於存儲 CU 憑證的
CLOUDHSM_PIN環境變量。- Amazon Linux
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:-
如果使用用戶端 SDK 3
n3fips_password=<CU user name>:<password> -
如果使用用戶端 SDK 5
CLOUDHSM_PIN=<CU user name>:<password>
以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
-
- Amazon Linux 2
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:-
如果使用用戶端 SDK 3
n3fips_password=<CU user name>:<password> -
如果使用用戶端 SDK 5
CLOUDHSM_PIN=<CU user name>:<password>
以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
-
- CentOS 7
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:-
如果使用用戶端 SDK 3
n3fips_password=<CU user name>:<password> -
如果使用用戶端 SDK 5
CLOUDHSM_PIN=<CU user name>:<password>
以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
-
- CentOS 8
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:CLOUDHSM_PIN=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
- Red Hat 7
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:-
如果使用用戶端 SDK 3
n3fips_password=<CU user name>:<password> -
如果使用用戶端 SDK 5
CLOUDHSM_PIN=<CU user name>:<password>
以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
-
- Red Hat 8
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:CLOUDHSM_PIN=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
- Ubuntu 16.04 LTS
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:n3fips_password=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
- Ubuntu 18.04 LTS
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:CLOUDHSM_PIN=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
- Ubuntu 20.04 LTS
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:CLOUDHSM_PIN=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。儲存檔案。
- Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
啟動 NGINX 伺服器。
- Amazon Linux
-
在文字編輯器中開啟
/etc/sysconfig/nginx檔案。這需要 Linux 根許可。新增加密使用者 (CU) 憑證:$sudo service nginx start - Amazon Linux 2
-
停止任何正在運行的 NGINX 進程
$sudo systemctl stop nginx重新載入
systemd組態以取得最新的變更$sudo systemctl daemon-reload啟動 NGINX 進程
$sudo systemctl start nginx - CentOS 7
-
停止任何正在運行的 NGINX 進程
$sudo systemctl stop nginx重新載入
systemd組態以取得最新的變更$sudo systemctl daemon-reload啟動 NGINX 進程
$sudo systemctl start nginx - CentOS 8
-
停止任何正在運行的 NGINX 進程
$sudo systemctl stop nginx重新載入
systemd組態以取得最新的變更$sudo systemctl daemon-reload啟動 NGINX 進程
$sudo systemctl start nginx - Red Hat 7
-
停止任何正在運行的 NGINX 進程
$sudo systemctl stop nginx重新載入
systemd組態以取得最新的變更$sudo systemctl daemon-reload啟動 NGINX 進程
$sudo systemctl start nginx - Red Hat 8
-
停止任何正在運行的 NGINX 進程
$sudo systemctl stop nginx重新載入
systemd組態以取得最新的變更$sudo systemctl daemon-reload啟動 NGINX 進程
$sudo systemctl start nginx - Ubuntu 16.04 LTS
-
停止任何正在運行的 NGINX 進程
$sudo systemctl stop nginx重新載入
systemd組態以取得最新的變更$sudo systemctl daemon-reload啟動 NGINX 進程
$sudo systemctl start nginx - Ubuntu 18.04 LTS
-
停止任何正在運行的 NGINX 進程
$sudo systemctl stop nginx重新載入
systemd組態以取得最新的變更$sudo systemctl daemon-reload啟動 NGINX 進程
$sudo systemctl start nginx - Ubuntu 20.04 LTS
-
停止任何正在運行的 NGINX 進程
$sudo systemctl stop nginx重新載入
systemd組態以取得最新的變更$sudo systemctl daemon-reload啟動 NGINX 進程
$sudo systemctl start nginx - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
(選用) 將平台設定為在啟動時啟動 NGINX。
- Amazon Linux
-
$sudo chkconfig nginx on - Amazon Linux 2
-
$sudo systemctl enable nginx - CentOS 7
-
不需要採取行動。
- CentOS 8
-
$sudo systemctl enable nginx - Red Hat 7
-
不需要採取行動。
- Red Hat 8
-
$sudo systemctl enable nginx - Ubuntu 16.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 18.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 20.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
在更新您的 Web 伺服器組態之後,請移至 步驟 4:啟用 HTTPS 流量並驗證憑證。
設定 Apache Web 伺服器
使用此區段可在支援的平台上設定 Apache。
更新 Apache 的 Web 伺服器組態
-
連線到 Amazon EC2 用戶端執行個體。
-
為平台定義憑證和私有金鑰的預設位置。
- Amazon Linux
-
在
/etc/httpd/conf.d/ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Amazon Linux 2
-
在
/etc/httpd/conf.d/ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - CentOS 7
-
在
/etc/httpd/conf.d/ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - CentOS 8
-
在
/etc/httpd/conf.d/ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Red Hat 7
-
在
/etc/httpd/conf.d/ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Red Hat 8
-
在
/etc/httpd/conf.d/ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Ubuntu 16.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 18.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 20.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf檔案中,請確定這些值存在:SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
將 Web 伺服器憑證複製到平台所需的位置。
- Amazon Linux
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - Amazon Linux 2
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - CentOS 7
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - CentOS 8
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - Red Hat 7
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - Red Hat 8
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - Ubuntu 16.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - Ubuntu 18.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - Ubuntu 20.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt以 Web 伺服器憑證的名稱取代
<web_server.crt>。 - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
將仿造 PEM 私有金鑰複製到平台所需的位置。
- Amazon Linux
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - Amazon Linux 2
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - CentOS 7
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - CentOS 8
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - Red Hat 7
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - Red Hat 8
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - Ubuntu 16.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - Ubuntu 18.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - Ubuntu 20.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key以包含仿造 PEM 私有金鑰的檔案名稱取代
<web_server_fake_PEM.key>。 - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
如果平台需要,請更改這些檔案的所有權。
- Amazon Linux
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key提供讀取許可給名為 apache 的使用者。
- Amazon Linux 2
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key提供讀取許可給名為 apache 的使用者。
- CentOS 7
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key提供讀取許可給名為 apache 的使用者。
- CentOS 8
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key提供讀取許可給名為 apache 的使用者。
- Red Hat 7
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key提供讀取許可給名為 apache 的使用者。
- Red Hat 8
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key提供讀取許可給名為 apache 的使用者。
- Ubuntu 16.04 LTS
-
不需要採取行動。
- Ubuntu 18.04 LTS
-
不需要採取行動。
- Ubuntu 20.04 LTS
-
不需要採取行動。
- Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
為平台設定 Apache 指令。
- Amazon Linux
-
找到此平台的 SSL 檔案:
/etc/httpd/conf.d/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA儲存檔案。
- Amazon Linux 2
-
找到此平台的 SSL 檔案:
/etc/httpd/conf.d/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA儲存檔案。
- CentOS 7
-
找到此平台的 SSL 檔案:
/etc/httpd/conf.d/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA儲存檔案。
- CentOS 8
-
找到此平台的 SSL 檔案:
/etc/httpd/conf.d/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLProtocolTLSv1.2 TLSv1.3SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProxyCipherSuiteHIGH:!aNULL儲存檔案。
- Red Hat 7
-
找到此平台的 SSL 檔案:
/etc/httpd/conf.d/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA儲存檔案。
- Red Hat 8
-
找到此平台的 SSL 檔案:
/etc/httpd/conf.d/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLProtocolTLSv1.2 TLSv1.3SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProxyCipherSuiteHIGH:!aNULL儲存檔案。
- Ubuntu 16.04 LTS
-
找到此平台的 SSL 檔案:
/etc/apache2/mods-available/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA儲存檔案。
啟用 SSL 模組和預設 SSL 網站組態:
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 18.04 LTS
-
找到此平台的 SSL 檔案:
/etc/apache2/mods-available/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProtocolTLSv1.2 TLSv1.3儲存檔案。
啟用 SSL 模組和預設 SSL 網站組態:
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 20.04 LTS
-
找到此平台的 SSL 檔案:
/etc/apache2/mods-available/ssl.conf該文件包含定義伺服器應該如何運行的 Apache 指令。指令顯示在左側,後面接著一個值。使用文字編輯器編輯此檔案。這需要 Linux 根許可。
使用這些值更新或輸入下列指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProtocolTLSv1.2 TLSv1.3儲存檔案。
啟用 SSL 模組和預設 SSL 網站組態:
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
為平台設定環境值檔案。
- Amazon Linux
-
不需要採取行動。環境值要填入
/etc/sysconfig/httpd - Amazon Linux 2
-
開啟 httpd 服務檔案:
/lib/systemd/system/httpd.service將下列內容加入到
[Service]區段:EnvironmentFile=/etc/sysconfig/httpd - CentOS 7
-
開啟 httpd 服務檔案:
/lib/systemd/system/httpd.service將下列內容加入到
[Service]區段:EnvironmentFile=/etc/sysconfig/httpd - CentOS 8
-
開啟 httpd 服務檔案:
/lib/systemd/system/httpd.service將下列內容加入到
[Service]區段:EnvironmentFile=/etc/sysconfig/httpd - Red Hat 7
-
開啟 httpd 服務檔案:
/lib/systemd/system/httpd.service將下列內容加入到
[Service]區段:EnvironmentFile=/etc/sysconfig/httpd - Red Hat 8
-
開啟 httpd 服務檔案:
/lib/systemd/system/httpd.service將下列內容加入到
[Service]區段:EnvironmentFile=/etc/sysconfig/httpd - Ubuntu 16.04 LTS
-
不需要採取行動。環境值要填入
/etc/sysconfig/httpd - Ubuntu 18.04 LTS
-
不需要採取行動。環境值要填入
/etc/sysconfig/httpd - Ubuntu 20.04 LTS
-
不需要採取行動。環境值要填入
/etc/sysconfig/httpd - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
在儲存平台環境變數的檔案中,設定包含加密使用者 (CU) 憑證的環境變數:
- Amazon Linux
-
使用文字編輯器編輯
/etc/sysconfig/httpd。-
如果使用用戶端 SDK 3
n3fips_password=<CU user name>:<password> -
如果使用用戶端 SDK 5
CLOUDHSM_PIN=<CU user name>:<password>
以 CU 憑證取代
<CU 使用者名稱>和<密碼>。 -
- Amazon Linux 2
-
使用文字編輯器編輯
/etc/sysconfig/httpd。-
如果使用用戶端 SDK 3
n3fips_password=<CU user name>:<password> -
如果使用用戶端 SDK 5
CLOUDHSM_PIN=<CU user name>:<password>
以 CU 憑證取代
<CU 使用者名稱>和<密碼>。 -
- CentOS 7
-
使用文字編輯器編輯
/etc/sysconfig/httpd。-
如果使用用戶端 SDK 3
n3fips_password=<CU user name>:<password> -
如果使用用戶端 SDK 5
CLOUDHSM_PIN=<CU user name>:<password>
以 CU 憑證取代
<CU 使用者名稱>和<密碼>。 -
- CentOS 8
-
使用文字編輯器編輯
/etc/sysconfig/httpd。CLOUDHSM_PIN=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。 - Red Hat 7
-
使用文字編輯器編輯
/etc/sysconfig/httpd。-
如果使用用戶端 SDK 3
n3fips_password=<CU user name>:<password> -
如果使用用戶端 SDK 5
CLOUDHSM_PIN=<CU user name>:<password>
以 CU 憑證取代
<CU 使用者名稱>和<密碼>。 -
- Red Hat 8
-
使用文字編輯器編輯
/etc/sysconfig/httpd。CLOUDHSM_PIN=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。注意
用戶端 SDK 5 引入了用於存儲 CU 憑證的
CLOUDHSM_PIN環境變量。 - Ubuntu 16.04 LTS
-
使用文字編輯器編輯
/etc/apache2/envvars。export n3fips_password=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。 - Ubuntu 18.04 LTS
-
使用文字編輯器編輯
/etc/apache2/envvars。export CLOUDHSM_PIN=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。注意
用戶端 SDK 5 引入了用於存儲 CU 憑證的
CLOUDHSM_PIN環境變量。在用戶端 SDK 3 中,將 CU 憑證儲存在n3fips_password環境變數中。用戶端 SDK 5 支援這兩個環境變數,但建議使用CLOUDHSM_PIN。 - Ubuntu 20.04 LTS
-
使用文字編輯器編輯
/etc/apache2/envvars。export CLOUDHSM_PIN=<CU user name>:<password>以 CU 憑證取代
<CU 使用者名稱>和<密碼>。注意
用戶端 SDK 5 引入了用於存儲 CU 憑證的
CLOUDHSM_PIN環境變量。在用戶端 SDK 3 中,將 CU 憑證儲存在n3fips_password環境變數中。用戶端 SDK 5 支援這兩個環境變數,但建議使用CLOUDHSM_PIN。 - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
啟動 Apache Web 伺服器。
- Amazon Linux
-
$sudo systemctl daemon-reload$sudo service httpd start - Amazon Linux 2
-
$sudo systemctl daemon-reload$sudo service httpd start - CentOS 7
-
$sudo systemctl daemon-reload$sudo service httpd start - CentOS 8
-
$sudo systemctl daemon-reload$sudo service httpd start - Red Hat 7
-
$sudo systemctl daemon-reload$sudo service httpd start - Red Hat 8
-
$sudo systemctl daemon-reload$sudo service httpd start - Ubuntu 16.04 LTS
-
$sudo service apache2 start - Ubuntu 18.04 LTS
-
$sudo service apache2 start - Ubuntu 20.04 LTS
-
$sudo service apache2 start - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
-
(選用) 將平台設定為在啟動時啟動 Apache。
- Amazon Linux
-
$sudo chkconfig httpd on - Amazon Linux 2
-
$sudo chkconfig httpd on - CentOS 7
-
$sudo chkconfig httpd on - CentOS 8
-
$systemctl enable httpd - Red Hat 7
-
$sudo chkconfig httpd on - Red Hat 8
-
$systemctl enable httpd - Ubuntu 16.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 18.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 20.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 22.04 LTS
-
目前尚未提供對 OpenSSL 動態引擎的支援。
在更新您的 Web 伺服器組態之後,請移至 步驟 4:啟用 HTTPS 流量並驗證憑證。
