Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS CloudHSM SSL/TLS-Offload unter Linux mit NGINX oder Apache mit OpenSSL
Dieses Thema enthält step-by-step Anweisungen zum Einrichten von SSL/TLS-Offload auf einem Linux-Webserver. AWS CloudHSM
Übersicht
Die NGINX- und Apache HTTP Server-Webserver-Software unter Linux ist nativ mit OpenSSL integriert, um HTTPS zu unterstützen. Die AWS CloudHSM dynamische Engine für OpenSSL bietet eine Schnittstelle, die es der Webserver-Software ermöglicht, die HSMs in Ihrem Cluster für kryptografisches Offloading und Schlüsselspeicherung zu verwenden. Die OpenSSL-Engine ist eine Brücke, die den Webserver mit dem AWS CloudHSM
-Cluster verbindet.
Um diese Anleitung abzuschließen, müssen Sie zuerst entscheiden, ob Sie unter Linux die NGINX- oder Apache Webserver-Software verwenden möchten. Dann erfahren Sie, wie Sie folgende Aufgaben ausführen:
-
Installieren Sie die Webserver-Software auf einer EC2 Amazon-Instance.
-
Konfigurieren Sie die Webserver-Software so, dass sie HTTPS mit einem privaten Schlüssel unterstützt, der in Ihrem AWS CloudHSM -Cluster gespeichert ist.
-
(Optional) Verwenden Sie Amazon EC2 , um eine zweite Webserver-Instance zu erstellen, und Elastic Load Balancing, um einen Load Balancer zu erstellen. Mit einem Load Balancer kann die Leistung durch Verteilung der Arbeitslast auf mehrere Server gesteigert werden. Sie kann auch für Redundanz und eine höhere Verfügbarkeit sorgen, falls ein oder mehrere Webserver ausfallen.
Wenn Sie bereit sind, sehen Sie sich Schritt 1: Einrichten der Voraussetzungen an.
Schritt 1: Einrichten der Voraussetzungen
Verschiedene Plattformen erfordern unterschiedliche Voraussetzungen. Verwenden Sie den Abschnitt mit den Voraussetzungen unten, der zu Ihrer Plattform passt.
Voraussetzungen für das Client-SDK 5
Um SSL/TLS-Offload für Webserver mit Client-SDK 5 einzurichten, benötigen Sie Folgendes:
-
Ein aktiver AWS CloudHSM Cluster mit mindestens zwei Hardware-Sicherheitsmodulen (HSM)
-
Eine EC2 Amazon-Instance, auf der ein Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:
-
Ein Crypto-Benutzer (CU), der den privaten Schlüssel des Webservers auf dem HSM besitzen und verwalten soll.
So richten Sie eine Linux-Webserver-Instance auf dem HSM ein und erstellen einen CU
-
Installieren und konfigurieren Sie die OpenSSL Dynamic Engine für AWS CloudHSM. Weitere Informationen zur Installation der OpenSSL Dynamic Engine finden Sie unter OpenSSL Dynamic Engine für Client-SDK 5.
-
Installieren Sie auf einer EC2 Linux-Instance, die Zugriff auf Ihren Cluster hat, entweder den NGINX- oder den Apache-Webserver:
- Amazon Linux
-
- Amazon Linux 2
-
-
Informationen zum Herunterladen der neuesten Version von NGINX auf Amazon Linux 2 finden Sie auf der NGINX-Website.
Die neueste Version von NGINX, die für Amazon Linux 2 verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation von NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM OpenSSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von OpenSSL erwartet
$
sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so
-
Apache
$
sudo yum install httpd mod_ssl
- Amazon Linux 2023
-
- CentOS 7
-
-
Informationen zum Herunterladen der neuesten Version von NGINX auf CentOS 7 finden Sie auf der NGINX-Website.
Die neueste Version von NGINX, die für CentOS 7 verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation von NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM OpenSSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von OpenSSL erwartet
$
sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so
-
Apache
$
sudo yum install httpd mod_ssl
- Red Hat 7
-
-
Informationen zum Herunterladen der neuesten Version von NGINX auf Red Hat 7 finden Sie auf der NGINX-Website.
Die neueste Version von NGINX, die für Red Hat 7 verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation von NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM OpenSSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von OpenSSL erwartet
$
sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so
-
Apache
$
sudo yum install httpd mod_ssl
- CentOS 8
-
- Red Hat 8
-
- Ubuntu 18.04
-
- Ubuntu 20.04
-
- Ubuntu 22.04
-
- Ubuntu 24.04
-
-
Verwenden Sie die CloudHSM-CLI, um eine CU zu erstellen. Weitere Informationen zur Verwaltung von HSM-Benutzern finden Sie unter HSM-Benutzer mit der CloudHSM-CLI verwalten.
Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen sie später beim Generieren oder Importieren des privaten HTTPS-Schlüssels und -Zertifikats für Ihren Webserver.
Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Generieren oder Importieren eines privaten Schlüssels und SSL/TLS-Zertifikats fort.
Hinweise
Voraussetzungen für das Client-SDK 3
Um SSL/TLS-Offload für Webserver mit Client-SDK 3 einzurichten, benötigen Sie Folgendes:
-
Ein aktiver AWS CloudHSM Cluster mit mindestens einem HSM.
-
Eine EC2 Amazon-Instance, auf der ein Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:
-
Der AWS CloudHSM Client und die Befehlszeilentools.
-
Die NGINX- oder Apache-Webserveranwendung.
-
Die AWS CloudHSM dynamische Engine für OpenSSL.
-
Ein Crypto-Benutzer (CU), der den privaten Schlüssel des Webservers auf dem HSM besitzen und verwalten soll.
So richten Sie eine Linux-Webserver-Instance auf dem HSM ein und erstellen einen CU
-
Führen Sie die Schritte unter Erste Schritte aus. Sie haben dann einen aktiven Cluster mit einem HSM und einer EC2 Amazon-Client-Instance. Ihre EC2 Instance wird mit den Befehlszeilentools konfiguriert. Verwenden Sie diese Client-Instance als Ihren Webserver.
-
Stellen Sie eine Verbindung mit Ihrer Client-Instance her. Weitere Informationen finden Sie in der EC2 Amazon-Dokumentation unter Herstellen einer Verbindung zu Ihrer Linux-Instance mithilfe von SSH oder Herstellen einer Verbindung zu Ihrer Linux-Instance von Windows aus mithilfe von PuTTY.
-
Installieren Sie auf einer EC2 Linux-Instance, die Zugriff auf Ihren Cluster hat, entweder den NGINX- oder den Apache-Webserver:
- Amazon Linux
-
- Amazon Linux 2
-
-
NGINX Version 1.19 ist die neueste Version von NGINX, die mit der Client-SDK 3-Engine auf Amazon Linux 2 kompatibel ist.
Weitere Informationen und den Download der NGINX-Version 1.19 finden Sie auf der NGINX-Website.
-
Apache
$
sudo yum install httpd mod_ssl
- CentOS 7
-
-
NGINX Version 1.19 ist die neueste Version von NGINX, die mit der Client-SDK 3-Engine auf CentOS 7 kompatibel ist.
Weitere Informationen und den Download der NGINX-Version 1.19 finden Sie auf der NGINX-Website.
-
Apache
$
sudo yum install httpd mod_ssl
- Red Hat 7
-
-
NGINX Version 1.19 ist die neueste Version von NGINX, die mit der Client-SDK 3-Engine auf Red Hat 7 kompatibel ist.
Weitere Informationen und den Download der NGINX-Version 1.19 finden Sie auf der NGINX-Website.
-
Apache
$
sudo yum install httpd mod_ssl
- Ubuntu 16.04
-
- Ubuntu 18.04
-
-
(Optional) Fügen Sie Ihrem Cluster weitere HSMs hinzu. Weitere Informationen finden Sie unter Zu einem HSM AWS CloudHSM Cluster hinzufügen.
-
Verwenden Sie cloudhsm_mgmt_util zum Erstellen eines CU. Weitere Informationen finden Sie unter HSMBenutzer. Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen sie später beim Generieren oder Importieren des privaten HTTPS-Schlüssels und -Zertifikats für Ihren Webserver.
Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Generieren oder Importieren eines privaten Schlüssels und SSL/TLS-Zertifikats fort.
Schritt 2: Generieren oder Importieren eines privaten Schlüssels und SSL/TLS-Zertifikats
Um HTTPS zu aktivieren, benötigt Ihre Webserver-Anwendung (NGINX oder Apache) einen privaten Schlüssel und einen entsprechenden SSL/TLS certificate. To use web server SSL/TLS Offload. Sie müssen den privaten Schlüssel in einem AWS CloudHSM HSM in Ihrem Cluster speichern. AWS CloudHSM Sie können dafür eine der folgenden Möglichkeiten auswählen:
-
Wenn Sie noch nicht über einen privaten Schlüssel und ein entsprechendes Zertifikat verfügen, generieren Sie einen privaten Schlüssel in einem HSM. Sie verwenden den privaten Schlüssel, um eine Zertifikatsignierungsanforderung (CSR) zu erstellen, mit der Sie das SSL/TLS-Zertifikat erstellen.
-
Wenn Sie bereits einen privaten Schlüssel und ein entsprechendes Zertifikat besitzen, importieren Sie den privaten Schlüssel in ein HSM.
Unabhängig davon, für welche der oben genannten Methoden Sie sich entscheiden, exportieren Sie einen gefälschten privaten PEM-Schlüssel aus dem HSM. Dabei handelt es sich um eine private Schlüsseldatei im PEM-Format, die einen Verweis auf den privaten Schlüssel enthält, der auf dem HSM gespeichert ist (es ist nicht der eigentliche private Schlüssel). Ihr Webserver verwendet die gefälschte private PEM-Schlüsseldatei, um den privaten Schlüssel auf dem HSM während des SSL/TLS-Offloads zu identifizieren.
Führen Sie eine der folgenden Aktionen aus:
Generieren eines privaten Schlüssels und Zertifikats
Generieren eines privaten Schlüssels
In diesem Abschnitt erfahren Sie, wie Sie mit dem Key Management Utility (KMU) aus dem Client SDK 3 ein key pair generieren. Sobald Sie ein Schlüsselpaar im HSM generiert haben, können Sie es als gefälschte PEM-Datei exportieren und das entsprechende Zertifikat generieren.
Private Schlüssel, die mit dem Key Management Utility (KMU) generiert wurden, können sowohl mit Client-SDK 3 als auch mit Client-SDK 5 verwendet werden.
Installieren und konfigurieren Sie das Key Management Utility (KMU)
-
Stellen Sie eine Verbindung mit Ihrer Client-Instance her.
-
Installieren und konfigurieren Sie das Client-SDK 3.
-
Führen Sie den folgenden Befehl aus, um den AWS CloudHSM Client zu starten.
- Amazon Linux
$
sudo start cloudhsm-client
- Amazon Linux 2
$
sudo service cloudhsm-client start
- CentOS 7
$
sudo service cloudhsm-client start
- CentOS 8
$
sudo service cloudhsm-client start
- RHEL 7
$
sudo service cloudhsm-client start
- RHEL 8
$
sudo service cloudhsm-client start
- Ubuntu 16.04 LTS
$
sudo service cloudhsm-client start
- Ubuntu 18.04 LTS
$
sudo service cloudhsm-client start
- Ubuntu 20.04 LTS
$
sudo service cloudhsm-client start
- Ubuntu 22.04 LTS
Unterstützung für OpenSSL Dynamic Engine ist noch nicht verfügbar.
-
Führen Sie den folgenden Befehl aus, um das Befehlszeilen-Tool key_mgmt_util zu starten.
$
/opt/cloudhsm/bin/key_mgmt_util
-
Führen Sie den folgenden Befehl aus, um sich beim HSM anzumelden. Ersetzen Sie <user name>
und <password>
durch den Benutzernamen und das Kennwort des kryptografischen Benutzers (CU).
Command:
loginHSM -u CU -s <user name>
-p <password>>
Generieren eines privaten Schlüssels
Je nach Anwendungsfall können Sie entweder ein RSA- oder ein EC-Schlüsselpaar generieren. Führen Sie eine der folgenden Aktionen aus:
-
So erstellen Sie einen privaten RSA-Schlüssel in einem HSM
Verwenden Sie den genRSAKeyPair
-Befehl, um ein RSA-Schlüsselpaar zu erzeugen. In diesem Beispiel wird ein RSA-Schlüsselpaar mit einem Modul von 2048, einem öffentlichen Exponenten von 65537 und einer Bezeichnung von generiert. tls_rsa_keypair
Command:
genRSAKeyPair -m 2048 -e 65537 -l tls_rsa_keypair
Wenn der Befehl erfolgreich war, sollte die folgende Ausgabe angezeigt werden, die darauf hinweist, dass Sie erfolgreich ein RSA-Schlüsselpaar generiert haben.
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS
Cfm3GenerateKeyPair: public key handle: 7 private key handle: 8
Cluster Status:
Node id 1 status: 0x00000000 : HSM Return: SUCCESS
-
So erstellen Sie einen privaten EC-Schlüssel in einem HSM
Verwenden Sie den genECCKeyPair
-Befehl, um ein EC-Schlüsselpaar zu generieren. In diesem Beispiel wird ein EC-Schlüsselpaar mit der Kurven-ID 2 (entspricht der NID_X9_62_prime256v1
Kurve) und der Bezeichnung generierttls_ec_keypair
.
Command:
genECCKeyPair -i 2 -l tls_ec_keypair
Wenn der Befehl erfolgreich war, sollte die folgende Ausgabe angezeigt werden, die darauf hinweist, dass Sie erfolgreich ein EC-Schlüsselpaar generiert haben.
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS
Cfm3GenerateKeyPair: public key handle: 7 private key handle: 8
Cluster Status:
Node id 1 status: 0x00000000 : HSM Return: SUCCESS
Exportieren einer gefälschten privaten PEM-Schlüsseldatei
Sobald Sie einen privaten Schlüssel auf dem HSM haben, müssen Sie eine gefälschte private PEM-Schlüsseldatei exportieren. Diese Datei enthält nicht die eigentlichen Schlüsseldaten, ermöglicht es der OpenSSL Dynamic Engine jedoch, den privaten Schlüssel auf dem HSM zu identifizieren. Sie können dann den privaten Schlüssel verwenden, um eine Zertifikatsignierungsanforderung (CSR) zu erstellen und die CSR zu signieren, um das Zertifikat zu erstellen.
gefälschte PEM-Dateien, die mit dem Key Management Utility (KMU) generiert wurden, können sowohl mit Client SDK 3 als auch mit Client SDK 5 verwendet werden.
Identifizieren Sie das Schlüssel-Handle, das dem Schlüssel entspricht, den Sie als gefälschtes PEM exportieren möchten, und führen Sie dann den folgenden Befehl aus, um den privaten Schlüssel im gefälschten PEM-Format zu exportieren und in einer Datei zu speichern. Ersetzen Sie die folgenden Werte durch Ihre eigenen.
-
<private_key_handle>
— Handle des generierten privaten Schlüssels. Dieses Handle wurde durch einen der Schlüsselgenerierungsbefehle im vorangegangenen Schritt erzeugt. Im vorhergehenden Beispiel lautet das Handle des privaten Schlüssels 8.
-
<web_server_example_PEM.key>
— Name der Datei, in die Ihr gefälschter PEM-Schlüssel geschrieben wird.
Command:
getCaviumPrivKey -k <private_key_handle>
-out <web_server_example_PEM.key>
Beenden
Führen Sie den folgenden Befehl aus, um key_mgmt_util zu beenden.
Command:
exit
Sie sollten jetzt eine neue Datei auf Ihrem System haben, die sich in dem Pfad befindet, der <web_server_example_PEM.key>
im vorherigen Befehl angegeben wurde. Diese Datei ist die gefälschte private PEM-Schlüsseldatei.
Generieren eines selbstsignierten Zertifikats
Sobald Sie einen gefälschten privaten PEM-Schlüssel generiert haben, können Sie diese Datei verwenden, um eine Zertifikatssignieranforderung (CSR) und ein Zertifikat zu generieren.
In einer Produktionsumgebung verwenden Sie in der Regel eine Zertifikatsstelle (CA) zum Erstellen eines Zertifikats aus einer CSR. Für eine Testumgebung ist keine CA erforderlich. Wenn Sie eine Zertifizierungsstelle verwenden, senden Sie ihnen die CSR-Datei und verwenden Sie das signierte SSL/TLS-Zertifikat, das sie Ihnen auf Ihrem Webserver für HTTPS zur Verfügung stellen.
Als Alternative zur Verwendung einer CA können Sie die AWS CloudHSM OpenSSL Dynamic Engine verwenden, um ein selbstsigniertes Zertifikat zu erstellen. Selbstsignierte Zertifikate sind nicht vertrauenswürdig für Browser und sollten in Produktionsumgebungen nicht verwendet werden. Sie können in Testumgebungen verwendet werden.
Selbstsignierte Zertifikate sollten nur in einer Testumgebung verwendet werden. Für eine Produktionsumgebung, verwenden Sie eine sicherere Methode, wie z. B. eine Zertifikatstelle, um ein Zertifikat zu erstellen.
Installieren und konfigurieren Sie die OpenSSL Dynamic Engine
-
Stellen Sie eine Verbindung mit Ihrer Client-Instance her.
-
Führen Sie zur Installation und Konfiguration einen der folgenden Schritte aus:
Generieren eines Zertifikats
-
Besorgen Sie sich eine Kopie Ihrer gefälschten PEM-Datei, die in einem früheren Schritt generiert wurde.
-
Erstellen einer CSR
Führen Sie den folgenden Befehl aus, um mit der AWS CloudHSM OpenSSL Dynamic Engine eine Certificate Signing Request (CSR) zu erstellen. <web_server_example_PEM.key>
Ersetzen Sie ihn durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält. <web_server.csr>
Ersetzen Sie es durch den Namen der Datei, die Ihre CSR enthält.
Der Befehl req
ist interaktiv. Füllen Sie jedes Feld aus. Die Feldinformationen werden in Ihr SSL/TLS-Zertifikat kopiert.
$
openssl req -engine cloudhsm -new -key <web_server_example_PEM.key>
-out <web_server.csr>
-
Erstellen eines selbstsignierten Zertifikats
Führen Sie den folgenden Befehl aus, um die AWS CloudHSM OpenSSL Dynamic Engine zu verwenden, um Ihre CSR mit Ihrem privaten Schlüssel auf Ihrem HSM zu signieren. Dadurch wird ein selbstsigniertes Zertifikat erstellt. Ersetzen Sie die folgenden Werte in dem Befehl durch Ihre eigenen.
-
<web_server.csr>
— Name der Datei, die die CSR enthält.
-
<web_server_example_PEM.key>
— Name der Datei, die den gefälschten privaten PEM-Schlüssel enthält.
-
<web_server.crt>
— Name der Datei, die Ihr Webserver-Zertifikat enthalten wird.
$
openssl x509 -engine cloudhsm -req -days 365 -in <web_server.csr>
-signkey <web_server_example_PEM.key>
-out <web_server.crt>
Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 3: Konfigurieren des Webservers fort.
Importieren Sie einen vorhandenen privaten Schlüssel und ein vorhandenes Zertifikat
Möglicherweise sind bereits ein privater Schlüssel und ein entsprechendes SSL/TLS-Zertifikat für die Verwendung von HTTPS auf Ihrem Webserver verfügbar. Wenn ja, können Sie diesen Schlüssel in ein HSM importieren, indem Sie die Schritte in diesem Abschnitt ausführen.
Einige Hinweise zum Import privater Schlüssel und zur Client-SDK-Kompatibilität:
-
Für den Import eines vorhandenen privaten Schlüssels ist Client-SDK 3 erforderlich.
-
Sie können private Schlüssel aus dem Client-SDK 3 mit dem Client-SDK 5 verwenden.
-
OpenSSL Dynamic Engine für Client-SDK 3 unterstützt die neuesten Linux-Plattformen nicht, die Implementierung von OpenSSL Dynamic Engine für Client-SDK 5 jedoch schon. Sie können einen vorhandenen privaten Schlüssel mit dem im Client-SDK 3 enthaltenen Key Management Utility (KMU) importieren und dann diesen privaten Schlüssel und die Implementierung von OpenSSL Dynamic Engine mit Client-SDK 5 verwenden, um SSL/TLS-Offload auf den neuesten Linux-Plattformen zu unterstützen.
So importieren Sie einen vorhandenen privaten Schlüssel in ein HSM mit Client-SDK 3
-
Connect zu Ihrer EC2 Amazon-Client-Instance her. Falls erforderlich, kopieren Sie Ihren vorhandenen privaten Schlüssel und das Zertifikat in die Instance.
-
Installieren und konfigurieren Sie das Client-SDK 3
-
Führen Sie den folgenden Befehl aus, um den AWS CloudHSM Client zu starten.
- Amazon Linux
$
sudo start cloudhsm-client
- Amazon Linux 2
$
sudo service cloudhsm-client start
- CentOS 7
$
sudo service cloudhsm-client start
- CentOS 8
$
sudo service cloudhsm-client start
- RHEL 7
$
sudo service cloudhsm-client start
- RHEL 8
$
sudo service cloudhsm-client start
- Ubuntu 16.04 LTS
$
sudo service cloudhsm-client start
- Ubuntu 18.04 LTS
$
sudo service cloudhsm-client start
- Ubuntu 20.04 LTS
$
sudo service cloudhsm-client start
- Ubuntu 22.04 LTS
Unterstützung für OpenSSL Dynamic Engine ist noch nicht verfügbar.
-
Führen Sie den folgenden Befehl aus, um das Befehlszeilen-Tool key_mgmt_util zu starten.
$
/opt/cloudhsm/bin/key_mgmt_util
-
Führen Sie den folgenden Befehl aus, um sich beim HSM anzumelden. Ersetzen Sie <user name>
und <password>
durch den Benutzernamen und das Kennwort des kryptografischen Benutzers (CU).
Command:
loginHSM -u CU -s <user name>
-p <password>
-
Führen Sie die folgenden Befehle aus, um Ihren privaten Schlüssel in ein HSM zu importieren.
-
Führen Sie den folgenden Befehl aus, um einen symmetrischen Schlüssel zum Packen zu erstellen, der nur für die aktuelle Sitzung gültig ist. Der Befehl und die Ausgabe sind gezeigt.
Command:
genSymKey -t 31 -s 16 -sess -l wrapping_key_for_import
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 6
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
-
Führen Sie den folgenden Befehl aus, um Ihren vorhandenen privaten Schlüssel in ein HSM zu importieren. Der Befehl und die Ausgabe sind gezeigt. Ersetzen Sie die folgenden Werte durch Ihre eigenen:
-
<web_server_existing.key>
— Name der Datei, die Ihren privaten Schlüssel enthält.
-
<web_server_imported_key>
— Bezeichnung für Ihren importierten privaten Schlüssel.
-
<wrapping_key_handle>
— Umschließendes Schlüssel-Handle, das durch den vorherigen Befehl generiert wurde. Im vorherigen Beispiel lautet die Referenz des Schlüssels zum packen 6.
Command:
importPrivateKey -f <web_server_existing.key>
-l <web_server_imported_key>
-w <wrapping_key_handle>
BER encoded key length is 1219
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Private Key Unwrapped. Key Handle: 8
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
-
Führen Sie den folgenden Befehl aus, um den privaten Schlüssel im gefälschten PEM-Format zu exportieren und speichern Sie ihn in einer Datei. Ersetzen Sie die folgenden Werte durch Ihre eigenen.
-
<private_key_handle>
— Handle des importierten privaten Schlüssels. Dieses Handle wurde im zweiten Befehl des vorhergehenden Schritts generiert. Im vorhergehenden Beispiel lautet das Handle des privaten Schlüssels 8.
-
<web_server_example_PEM.key>
— Name der Datei, die Ihren exportierten gefälschten privaten PEM-Schlüssel enthält.
Command:
getCaviumPrivKey -k <private_key_handle>
-out <web_server_example_PEM.key>
-
Führen Sie den folgenden Befehl aus, um key_mgmt_util zu beenden.
Command:
exit
Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 3: Konfigurieren des Webservers fort.
Aktualisieren Sie die Konfiguration Ihrer Webserver-Software, um das HTTPS-Zertifikat und den zugehörigen gefälschten privaten PEM-Schlüssel zu verwenden, die Sie im vorherigen Schritt erstellt haben. Denken Sie daran, Ihre vorhandenen Zertifikate und Schlüssel zu sichern, bevor Sie beginnen. Damit schließen Sie die Einrichtung Ihrer Linux-Webserver-Software für SSL/TLS-Auslagerung mit AWS CloudHSM ab.
Führen Sie die Schritte aus einem der folgenden Abschnitte aus.
Konfigurieren eines NGINX-Webservers
Verwenden Sie diesen Abschnitt, um NGINX auf unterstützten Plattformen zu konfigurieren.
So aktualisieren Sie die Webserverkonfiguration für NGINX
-
Stellen Sie eine Verbindung mit Ihrer Client-Instance her.
-
Führen Sie den folgenden Befehl aus, um die erforderlichen Verzeichnisse für das Webserverzertifikat und den gefälschten privaten PEM-Schlüssel zu erstellen.
$
sudo mkdir -p /etc/pki/nginx/private
-
Führen Sie den folgenden Befehl aus, um Ihr Webserverzertifikat an die erforderliche Stelle zu kopieren. Ersetzen Sie es <web_server.crt>
durch den Namen Ihres Webserver-Zertifikats.
$
sudo cp <web_server.crt>
/etc/pki/nginx/server.crt
-
Führen Sie den folgenden Befehl aus, um den gefälschten privaten PEM-Schlüssel an die erforderliche Stelle zu kopieren. <web_server_fake_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
$
sudo cp <web_server_example_pem.key>
/etc/pki/nginx/private/server.key
-
Führen Sie den folgenden Befehl aus, um die Eigentümerschaft für diese Dateien zu ändern, sodass der Benutzer mit dem Namen nginx diese lesen kann.
$
sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
-
Führen Sie den folgenden Befehl aus, um die Datei /etc/nginx/nginx.conf
zu sichern.
$
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
-
Aktualisieren Sie die NGINX-Konfiguration.
Jeder Cluster kann maximal 1000 NGINX-Worker-Prozesse auf allen NGINX-Webservern unterstützen.
- Amazon Linux
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
-
Bei Verwendung von Client-SDK 3
ssl_engine cloudhsm;
env n3fips_password;
-
Bei Verwendung von Client-SDK 5
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Amazon Linux 2
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
-
Bei Verwendung von Client-SDK 3
ssl_engine cloudhsm;
env n3fips_password;
-
Bei Verwendung von Client-SDK 5
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Amazon Linux 2023
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- CentOS 7
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
-
Bei Verwendung von Client-SDK 3
ssl_engine cloudhsm;
env n3fips_password;
-
Bei Verwendung von Client-SDK 5
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- CentOS 8
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Red Hat 7
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
-
Bei Verwendung von Client-SDK 3
ssl_engine cloudhsm;
env n3fips_password;
-
Bei Verwendung von Client-SDK 5
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Red Hat 8
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Ubuntu 16.04 LTS
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
ssl_engine cloudhsm;
env n3fips_password;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Ubuntu 18.04 LTS
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Ubuntu 20.04 LTS
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Ubuntu 22.04 LTS
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
- Ubuntu 24.04 LTS
-
Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf
zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
Fügen Sie dann dem Abschnitt TLS der Datei Folgendes hinzu:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
Speichern Sie die Datei.
-
Sichern Sie die systemd
-Konfigurationsdatei und legen Sie dann den EnvironmentFile
-Pfad fest.
- Amazon Linux
-
Es ist keine Aktion erforderlich.
- Amazon Linux 2
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie die Datei /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu:
EnvironmentFile=/etc/sysconfig/nginx
- Amazon Linux 2023
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie im Abschnitt [Service] Folgendes hinzu:
EnvironmentFile=/etc/sysconfig/nginx
- CentOS 7
-
Es ist keine Aktion erforderlich.
- CentOS 8
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie die Datei /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu:
EnvironmentFile=/etc/sysconfig/nginx
- Red Hat 7
-
Es ist keine Aktion erforderlich.
- Red Hat 8
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie die Datei /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu:
EnvironmentFile=/etc/sysconfig/nginx
- Ubuntu 16.04
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie die Datei /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu:
EnvironmentFile=/etc/sysconfig/nginx
- Ubuntu 18.04
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie die Datei /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu:
EnvironmentFile=/etc/sysconfig/nginx
- Ubuntu 20.04 LTS
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie die Datei /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu:
EnvironmentFile=/etc/sysconfig/nginx
- Ubuntu 22.04 LTS
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie die Datei /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu:
EnvironmentFile=/etc/sysconfig/nginx
- Ubuntu 24.04 LTS
-
-
Sichern Sie die Datei nginx.service
.
$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Öffnen Sie die Datei /lib/systemd/system/nginx.service
in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu:
EnvironmentFile=/etc/sysconfig/nginx
-
Überprüfen Sie, ob die Datei /etc/sysconfig/nginx
vorhanden ist, und führen Sie dann einen der folgenden Schritte aus:
-
Wenn die Datei vorhanden ist, sichern Sie die Datei, indem Sie den folgenden Befehl ausführen:
$
sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
-
Öffnen Sie einen Texteditor und erstellen Sie im Ordner /etc/sysconfig/
eine Datei mit dem Namen nginx
, wenn die Datei nicht vorhanden ist.
-
Konfigurieren Sie die NGINX-Umgebung.
Das Client-SDK 5 führt die CLOUDHSM_PIN
-Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein.
- Amazon Linux
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
-
Bei Verwendung von Client-SDK 3
n3fips_password=<CU user name>
:<password>
-
Bei Verwendung von Client-SDK 5
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Amazon Linux 2
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
-
Bei Verwendung von Client-SDK 3
n3fips_password=<CU user name>
:<password>
-
Bei Verwendung von Client-SDK 5
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Amazon Linux 2023
-
Öffnen Sie als Linux-Root-Benutzer die /etc/sysconfig/nginx
Datei in einem Texteditor. Zum Beispiel
sudo vi /etc/sysconfig/nginx
Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- CentOS 7
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
-
Bei Verwendung von Client-SDK 3
n3fips_password=<CU user name>
:<password>
-
Bei Verwendung von Client-SDK 5
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- CentOS 8
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Red Hat 7
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
-
Bei Verwendung von Client-SDK 3
n3fips_password=<CU user name>
:<password>
-
Bei Verwendung von Client-SDK 5
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Red Hat 8
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Ubuntu 16.04 LTS
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
n3fips_password=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Ubuntu 18.04 LTS
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Ubuntu 20.04 LTS
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Ubuntu 22.04 LTS
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
- Ubuntu 24.04 LTS
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Speichern Sie die Datei.
-
Starten Sie den NGINX-Webserver.
- Amazon Linux
-
Öffnen Sie die Datei /etc/sysconfig/nginx
in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:
$
sudo service nginx start
- Amazon Linux 2
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- Amazon Linux 2023
-
Stoppen Sie alle NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie NGINX
$
sudo systemctl start nginx
- CentOS 7
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- CentOS 8
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- Red Hat 7
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- Red Hat 8
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- Ubuntu 16.04 LTS
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- Ubuntu 18.04 LTS
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- Ubuntu 20.04 LTS
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- Ubuntu 22.04 LTS
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
- Ubuntu 24.04 LTS
-
Stoppen Sie alle laufenden NGINX-Prozesse
$
sudo systemctl stop nginx
Laden Sie die systemd
-Konfiguration neu, um die neuesten Änderungen zu erhalten
$
sudo systemctl daemon-reload
Starten Sie den NGINX-Prozess
$
sudo systemctl start nginx
-
(Optional) Konfigurieren Sie Ihre Plattform so, dass NGINX beim Start gestartet wird.
- Amazon Linux
-
$
sudo chkconfig nginx on
- Amazon Linux 2
-
$
sudo systemctl enable nginx
- Amazon Linux 2023
-
$
sudo systemctl enable nginx
- CentOS 7
-
Es ist keine Aktion erforderlich.
- CentOS 8
-
$
sudo systemctl enable nginx
- Red Hat 7
-
Es ist keine Aktion erforderlich.
- Red Hat 8
-
$
sudo systemctl enable nginx
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 22.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 24.04 LTS
-
$
sudo systemctl enable nginx
Nachdem Sie Ihre Webserverkonfiguration aktualisiert haben, gehen Sie zu Schritt 4: Aktivieren von HTTPS-Datenverkehr und Verifizieren des Zertifikats.
Konfigurieren des Apache-Webservers
Verwenden Sie diesen Abschnitt, um Apache auf unterstützten Plattformen zu konfigurieren.
So aktualisieren Sie die Webserverkonfiguration für Apache
-
Connect zu Ihrer EC2 Amazon-Client-Instance her.
-
Definieren Sie Standardspeicherorte für Zertifikate und private Schlüssel für Ihre Plattform.
- Amazon Linux
-
Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
- Amazon Linux 2
-
Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
- Amazon Linux 2023
-
/etc/httpd/conf.d/ssl.conf
Datei öffnen. Fügen Sie diese Werte hinzu, falls sie noch nicht existieren:
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
- CentOS 7
-
Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
- CentOS 8
-
Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
- Red Hat 7
-
Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
- Red Hat 8
-
Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
- Ubuntu 16.04 LTS
-
Stellen Sie sicher, dass in der /etc/apache2/sites-available/default-ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
- Ubuntu 18.04 LTS
-
Stellen Sie sicher, dass in der /etc/apache2/sites-available/default-ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
- Ubuntu 20.04 LTS
-
Stellen Sie sicher, dass in der /etc/apache2/sites-available/default-ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
- Ubuntu 22.04 LTS
-
Stellen Sie sicher, dass in der /etc/apache2/sites-available/default-ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
- Ubuntu 24.04 LTS
-
Stellen Sie sicher, dass in der /etc/apache2/sites-available/default-ssl.conf
-Datei die folgenden Werte vorhanden sind:
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
-
Kopieren Sie Ihr Webserver-Zertifikat an den für Ihre Plattform erforderlichen Speicherort.
- Amazon Linux
-
$
sudo cp <web_server.crt>
/etc/pki/tls/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Amazon Linux 2
-
$
sudo cp <web_server.crt>
/etc/pki/tls/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Amazon Linux 2023
-
$
sudo cp <web_server.crt>
/etc/pki/tls/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- CentOS 7
-
$
sudo cp <web_server.crt>
/etc/pki/tls/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- CentOS 8
-
$
sudo cp <web_server.crt>
/etc/pki/tls/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Red Hat 7
-
$
sudo cp <web_server.crt>
/etc/pki/tls/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Red Hat 8
-
$
sudo cp <web_server.crt>
/etc/pki/tls/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Ubuntu 16.04 LTS
-
$
sudo cp <web_server.crt>
/etc/ssl/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Ubuntu 18.04 LTS
-
$
sudo cp <web_server.crt>
/etc/ssl/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Ubuntu 20.04 LTS
-
$
sudo cp <web_server.crt>
/etc/ssl/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Ubuntu 22.04 LTS
-
$
sudo cp <web_server.crt>
/etc/ssl/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
- Ubuntu 24.04 LTS
-
$
sudo cp <web_server.crt>
/etc/ssl/certs/localhost.crt
<web_server.crt>
Ersetzen Sie es durch den Namen Ihres Webserver-Zertifikats.
-
Kopieren Sie Ihren gefälschten privaten PEM-Schlüssel an den für Ihre Plattform erforderlichen Speicherort.
- Amazon Linux
-
$
sudo cp <web_server_example_pem.key>
/etc/pki/tls/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Amazon Linux 2
-
$
sudo cp <web_server_example_pem.key>
/etc/pki/tls/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Amazon Linux 2023
-
$
sudo cp <web_server_example_pem.key>
/etc/pki/tls/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- CentOS 7
-
$
sudo cp <web_server_example_pem.key>
/etc/pki/tls/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- CentOS 8
-
$
sudo cp <web_server_example_pem.key>
/etc/pki/tls/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Red Hat 7
-
$
sudo cp <web_server_example_pem.key>
/etc/pki/tls/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Red Hat 8
-
$
sudo cp <web_server_example_pem.key>
/etc/pki/tls/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Ubuntu 16.04 LTS
-
$
sudo cp <web_server_example_pem.key>
/etc/ssl/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Ubuntu 18.04 LTS
-
$
sudo cp <web_server_example_pem.key>
/etc/ssl/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Ubuntu 20.04 LTS
-
$
sudo cp <web_server_example_pem.key>
/etc/ssl/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Ubuntu 22.04 LTS
-
$
sudo cp <web_server_example_pem.key>
/etc/ssl/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
- Ubuntu 24.04 LTS
-
$
sudo cp <web_server_example_pem.key>
/etc/ssl/private/localhost.key
<web_server_example_pem.key>
Ersetzen Sie es durch den Namen der Datei, die Ihren gefälschten privaten PEM-Schlüssel enthält.
-
Ändern Sie den Besitz dieser Dateien, falls Ihre Plattform dies erfordert.
- Amazon Linux
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.
- Amazon Linux 2
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.
- Amazon Linux 2023
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.
- CentOS 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.
- CentOS 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.
- Red Hat 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.
- Red Hat 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.
- Ubuntu 16.04 LTS
-
Es ist keine Aktion erforderlich.
- Ubuntu 18.04 LTS
-
Es ist keine Aktion erforderlich.
- Ubuntu 20.04 LTS
-
Es ist keine Aktion erforderlich.
- Ubuntu 22.04 LTS
-
Es ist keine Aktion erforderlich.
- Ubuntu 24.04 LTS
-
Es ist keine Aktion erforderlich.
-
Konfigurieren Sie Apache-Direktiven für Ihre Plattform.
- Amazon Linux
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/httpd/conf.d/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Speichern Sie die Datei.
- Amazon Linux 2
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/httpd/conf.d/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Speichern Sie die Datei.
- Amazon Linux 2023
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/httpd/conf.d/ssl.conf
Die Apache-Konfigurationsdatei definiert das Serververhalten. Bearbeiten Sie diese Datei mit Root-Rechten.
Aktualisieren Sie die folgenden Anweisungen oder fügen Sie sie hinzu:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Speichern Sie die Datei.
- CentOS 7
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/httpd/conf.d/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Speichern Sie die Datei.
- CentOS 8
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/httpd/conf.d/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL
Speichern Sie die Datei.
- Red Hat 7
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/httpd/conf.d/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Speichern Sie die Datei.
- Red Hat 8
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/httpd/conf.d/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL
Speichern Sie die Datei.
- Ubuntu 16.04 LTS
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/apache2/mods-available/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Speichern Sie die Datei.
Aktivieren Sie das SSL-Modul und die standardmäßige SSL-Site-Konfiguration:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 18.04 LTS
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/apache2/mods-available/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3
Speichern Sie die Datei.
Aktivieren Sie das SSL-Modul und die standardmäßige SSL-Site-Konfiguration:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 20.04 LTS
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/apache2/mods-available/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3
Speichern Sie die Datei.
Aktivieren Sie das SSL-Modul und die standardmäßige SSL-Site-Konfiguration:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 22.04 LTS
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/apache2/mods-available/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3
Speichern Sie die Datei.
Aktivieren Sie das SSL-Modul und die standardmäßige SSL-Site-Konfiguration:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 24.04 LTS
-
Suchen Sie die SSL-Datei für diese Plattform:
/etc/apache2/mods-available/ssl.conf
Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.
Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3
Speichern Sie die Datei.
Aktivieren Sie das SSL-Modul und die standardmäßige SSL-Site-Konfiguration:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
-
Konfigurieren Sie eine Datei mit Umgebungswerten für Ihre Plattform.
- Amazon Linux
-
Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd
- Amazon Linux 2
-
Öffnen Sie die HTTPD-Servicedatei:
/lib/systemd/system/httpd.service
Fügen Sie unter dem Abschnitt [Service]
Folgendes hinzu:
EnvironmentFile=/etc/sysconfig/httpd
- Amazon Linux 2023
-
Öffnen Sie /lib/systemd/system/httpd.service
.
Fügen Sie im Abschnitt [Service] Folgendes hinzu:
EnvironmentFile=/etc/sysconfig/httpd
- CentOS 7
-
Öffnen Sie die HTTPD-Servicedatei:
/lib/systemd/system/httpd.service
Fügen Sie unter dem Abschnitt [Service]
Folgendes hinzu:
EnvironmentFile=/etc/sysconfig/httpd
- CentOS 8
-
Öffnen Sie die HTTPD-Servicedatei:
/lib/systemd/system/httpd.service
Fügen Sie unter dem Abschnitt [Service]
Folgendes hinzu:
EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 7
-
Öffnen Sie die HTTPD-Servicedatei:
/lib/systemd/system/httpd.service
Fügen Sie unter dem Abschnitt [Service]
Folgendes hinzu:
EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 8
-
Öffnen Sie die HTTPD-Servicedatei:
/lib/systemd/system/httpd.service
Fügen Sie unter dem Abschnitt [Service]
Folgendes hinzu:
EnvironmentFile=/etc/sysconfig/httpd
- Ubuntu 16.04 LTS
-
Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd
- Ubuntu 18.04 LTS
-
Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd
- Ubuntu 20.04 LTS
-
Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd
- Ubuntu 22.04 LTS
-
Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd
- Ubuntu 24.04 LTS
-
Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd
-
Legen Sie in der Datei, in der Umgebungsvariablen für Ihre Plattform gespeichert sind, eine Umgebungsvariable fest, die die Anmeldeinformationen für den Crypto-Benutzer (CU) enthält:
- Amazon Linux
-
Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd
zu bearbeiten.
-
Bei Verwendung von Client-SDK 3
n3fips_password=<CU user name>
:<password>
-
Bei Verwendung von Client-SDK 5
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
- Amazon Linux 2
-
Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd
zu bearbeiten.
-
Bei Verwendung von Client-SDK 3
n3fips_password=<CU user name>
:<password>
-
Bei Verwendung von Client-SDK 5
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
- Amazon Linux 2023
-
Öffnen/etc/sysconfig/httpd
, hinzufügen:
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
- CentOS 7
-
Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd
zu bearbeiten.
-
Bei Verwendung von Client-SDK 3
n3fips_password=<CU user name>
:<password>
-
Bei Verwendung von Client-SDK 5
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
- CentOS 8
-
Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd
zu bearbeiten.
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
- Red Hat 7
-
Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd
zu bearbeiten.
-
Bei Verwendung von Client-SDK 3
n3fips_password=<CU user name>
:<password>
-
Bei Verwendung von Client-SDK 5
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
- Red Hat 8
-
Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd
zu bearbeiten.
CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Das Client-SDK 5 führt die CLOUDHSM_PIN
-Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein.
- Ubuntu 16.04 LTS
-
Verwenden Sie einen Texteditor, um /etc/apache2/envvars
zu bearbeiten.
export n3fips_password=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
- Ubuntu 18.04 LTS
-
Verwenden Sie einen Texteditor, um /etc/apache2/envvars
zu bearbeiten.
export CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Das Client-SDK 5 führt die CLOUDHSM_PIN
-Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein. Im Client-SDK 3 speichern Sie die CU-Anmeldeinformationen in der n3fips_password
-Umgebungsvariable. Client-SDK 5 unterstützt beide Umgebungsvariablen, wir empfehlen jedoch, CLOUDHSM_PIN
zu verwenden.
- Ubuntu 20.04 LTS
-
Verwenden Sie einen Texteditor, um /etc/apache2/envvars
zu bearbeiten.
export CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Das Client-SDK 5 führt die CLOUDHSM_PIN
-Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein. Im Client-SDK 3 speichern Sie die CU-Anmeldeinformationen in der n3fips_password
-Umgebungsvariable. Client-SDK 5 unterstützt beide Umgebungsvariablen, wir empfehlen jedoch, CLOUDHSM_PIN
zu verwenden.
- Ubuntu 22.04 LTS
-
Verwenden Sie einen Texteditor, um /etc/apache2/envvars
zu bearbeiten.
export CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Das Client-SDK 5 führt die CLOUDHSM_PIN
-Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein. Im Client-SDK 3 speichern Sie die CU-Anmeldeinformationen in der n3fips_password
-Umgebungsvariable. Client-SDK 5 unterstützt beide Umgebungsvariablen, wir empfehlen jedoch, CLOUDHSM_PIN
zu verwenden.
- Ubuntu 24.04 LTS
-
Verwenden Sie einen Texteditor, um /etc/apache2/envvars
zu bearbeiten.
export CLOUDHSM_PIN=<CU user name>
:<password>
Ersetzen Sie <CU user name>
und <password>
durch die CU-Anmeldeinformationen.
Das Client-SDK 5 führt die CLOUDHSM_PIN
-Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein. Im Client-SDK 3 speichern Sie die CU-Anmeldeinformationen in der n3fips_password
-Umgebungsvariable. Client-SDK 5 unterstützt beide Umgebungsvariablen, wir empfehlen jedoch, CLOUDHSM_PIN
zu verwenden.
-
Starten Sie den Apache-Webserver.
- Amazon Linux
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Amazon Linux 2
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Amazon Linux 2023
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Ubuntu 16.04 LTS
-
$
sudo service apache2 start
- Ubuntu 18.04 LTS
-
$
sudo service apache2 start
- Ubuntu 20.04 LTS
-
$
sudo service apache2 start
- Ubuntu 22.04 LTS
-
$
sudo service apache2 start
- Ubuntu 24.04 LTS
-
$
sudo service apache2 start
-
(Optional) Konfigurieren Sie Ihre Plattform so, dass Apache beim Start gestartet wird.
- Amazon Linux
-
$
sudo chkconfig httpd on
- Amazon Linux 2
-
$
sudo chkconfig httpd on
- Amazon Linux 2023
-
$
sudo chkconfig httpd on
- CentOS 7
-
$
sudo chkconfig httpd on
- CentOS 8
-
$
systemctl enable httpd
- Red Hat 7
-
$
sudo chkconfig httpd on
- Red Hat 8
-
$
systemctl enable httpd
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 22.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 24.04 LTS
-
$
sudo systemctl enable apache2
Nachdem Sie Ihre Webserverkonfiguration aktualisiert haben, gehen Sie zu Schritt 4: Aktivieren von HTTPS-Datenverkehr und Verifizieren des Zertifikats.
Schritt 4: Aktivieren von HTTPS-Datenverkehr und Verifizieren des Zertifikats
Nachdem Sie Ihren Webserver für den SSL/TLS-Offload mit konfiguriert haben AWS CloudHSM, fügen Sie Ihre Webserver-Instanz einer Sicherheitsgruppe hinzu, die eingehenden HTTPS-Verkehr zulässt. Dadurch können Clients, wie z. B. Webbrowser, eine HTTPS-Verbindung mit Ihrem Webserver herstellen. Stellen Sie dann eine HTTPS-Verbindung zu Ihrem Webserver her und stellen Sie sicher, dass er das Zertifikat verwendet, mit dem Sie für den SSL/TLS-Offload konfiguriert haben. AWS CloudHSM
Aktivieren von eingehenden HTTPS-Verbindungen
Zum Herstellen einer Verbindung zu Ihrem Webserver von einem Client (z. B. ein Webbrowser) aus, erstellen Sie eine Sicherheitsgruppe, die eingehende HTTPS-Verbindungen zulässt. Insbesondere sollten eingehende TCP-Verbindungen auf Port 443 erlaubt werden. Weisen Sie diese Sicherheitsgruppe Ihrem Webserver zu.
So erstellen Sie eine Sicherheitsgruppe für HTTPS und weisen sie Ihrem Webserver zu
-
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
-
Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
-
Wählen Sie Sicherheitsgruppe erstellen.
-
Führen Sie für Sicherheitsgruppe erstellen die folgenden Schritte aus:
-
Geben Sie in das Feld Sicherheitsgruppenname einen Namen für die Sicherheitsgruppe ein, die Sie erstellen.
-
(Optional) Geben Sie eine Beschreibung der Sicherheitsgruppe ein, die Sie erstellen.
-
Wählen Sie für VPC die VPC aus, die Ihre EC2 Webserver-Amazon-Instance enthält.
-
Wählen Sie Regel hinzufügen aus.
-
Wählen Sie im Drop-down-Fenster für Typ die Option HTTPS aus.
-
Geben Sie für Quelle einen Quellspeicherort ein.
-
Wählen Sie Sicherheitsgruppe erstellen aus.
-
Wählen Sie im Navigationsbereich Instances aus.
-
Aktivieren Sie das Kontrollkästchen neben Ihrer Webserver-Instance.
-
Wählen Sie das Drop-down-Menü Aktionen oben auf der Seite. Wählen Sie Sicherheit und dann Sicherheitsgruppen ändern aus.
-
Wählen Sie unter Zugeordnete Sicherheitsgruppen das Suchfeld aus und wählen Sie die Sicherheitsgruppe, die Sie für HTTPS erstellt haben, aus. Wählen Sie dann Sicherheitsgruppen hinzufügen aus.
-
Wählen Sie Speichern.
Verifizieren, dass HTTPS das konfigurierte Zertifikat verwendet
Nachdem Sie den Webserver zu einer Sicherheitsgruppe hinzugefügt haben, können Sie überprüfen, ob der SSL/TLS-Offload Ihr selbstsigniertes Zertifikat verwendet. Sie können dazu einen Webbrowser oder ein Tool wie OpenSSL s_client nutzen.
So überprüfen Sie die SSL/TLS-Auslagerung mit einem Webbrowser
-
Verwenden Sie einen Web-Browser, um eine Verbindung zum Webserver unter Verwendung des öffentlichen DNS-Namen oder der IP-Adresse des Servers herzustellen. Stellen Sie sicher, dass die URL in die Adresszeile mit https:// beginnt. Beispiel, https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/
.
Sie können einen DNS-Dienst wie Amazon Route 53 verwenden, um den Domainnamen Ihrer Website (z. B. https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing Traffic to an Amazon EC2 Instance im Amazon Route 53 Developer Guide oder in der Dokumentation zu Ihrem DNS-Service.
-
Zeigen Sie das Webserverzertifikat mit Ihrem Webbrowser an. Weitere Informationen finden Sie hier:
-
Wenn Sie Mozilla Firefox nutzen, sehen Sie sich die Informationen auf der Mozilla Support-Website unter Zertifikat anzeigen an.
-
Wenn Sie Google Chrome verwenden, sehen Sie sich die Informationen auf der „Google Tools für Web Developers“-Website unter Sicherheitsprobleme verstehen an.
Andere Webbrowser unterstützen möglicherweise ähnliche Funktionen, über die Sie das Webserverzertifikat anzeigen können.
-
Stellen Sie sicher, dass das SSL/TLS-Zertifikat dasjenige ist, das Sie für die Nutzung in Ihrem Webserver konfiguriert haben.
So überprüfen Sie die SSL/TLS-Auslagerung mit OpenSSL s_client
-
Führen Sie den folgenden OpenSSL-Befehl aus, um mittels HTTPS eine Verbindung zu Ihrem Webserver herzustellen. <server name>
Ersetzen Sie es durch den öffentlichen DNS-Namen oder die IP-Adresse Ihres Webservers.
openssl s_client -connect <server name>
:443
Sie können einen DNS-Dienst wie Amazon Route 53 verwenden, um den Domainnamen Ihrer Website (z. B. https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing Traffic to an Amazon EC2 Instance im Amazon Route 53 Developer Guide oder in der Dokumentation zu Ihrem DNS-Service.
-
Stellen Sie sicher, dass das SSL/TLS-Zertifikat dasjenige ist, das Sie für die Nutzung in Ihrem Webserver konfiguriert haben.
Sie verfügen jetzt über eine mit HTTPS gesicherte Website. Der private Schlüssel für den Webserver wird in einem HSM in Ihrem AWS CloudHSM Cluster gespeichert.
Informationen zum Hinzufügen eines Load Balancers finden Sie unter Fügen Sie einen Load Balancer mit Elastic Load Balancing für hinzu AWS CloudHSM(optional).