AWS CloudHSM SSL/TLSOffload unter Linux mit NGINX oder Apache mit Open SSL - AWS CloudHSM
Übersicht1: Vorbereitung2: Schlüssel generieren3: Server konfigurieren4: Überprüfen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudHSM SSL/TLSOffload unter Linux mit NGINX oder Apache mit Open SSL

Dieses Thema enthält step-by-step Anweisungen zum Einrichten vonSSL/TLSoffload with AWS CloudHSM auf einem Linux-Webserver.

Übersicht

Unter Linux sind die Webserver-Software NGINXund die Apache HTTP Server-Webserver-Software SSL zur Unterstützung HTTPS in Open integriert. Die AWS CloudHSM dynamische Engine für Open SSL bietet eine Schnittstelle, über die die Webserver-Software die HSMs in Ihrem Cluster für kryptografisches Offloading und die Schlüsselspeicherung verwenden kann. Die Open SSL Engine ist die Brücke, die den Webserver mit Ihrem AWS CloudHSM Cluster verbindet.

Um dieses Tutorial abzuschließen, müssen Sie zunächst wählen, ob Sie die Webserver-Software NGINX oder die Apache Webserver-Software unter Linux verwenden möchten. Dann erfahren Sie, wie Sie folgende Aufgaben ausführen:

  • Installieren Sie die Webserver-Software auf einer EC2 Amazon-Instance.

  • Konfigurieren Sie die Webserver-Software für die Unterstützung HTTPS mit einem privaten Schlüssel, der in Ihrem AWS CloudHSM Cluster gespeichert ist.

  • (Optional) Verwenden Sie AmazonEC2, um eine zweite Webserver-Instance zu erstellen, und Elastic Load Balancing, um einen Load Balancer zu erstellen. Mit einem Load Balancer kann die Leistung durch Verteilung der Arbeitslast auf mehrere Server gesteigert werden. Sie kann auch für Redundanz und eine höhere Verfügbarkeit sorgen, falls ein oder mehrere Webserver ausfallen.

Wenn Sie bereit sind, sehen Sie sich Schritt 1: Einrichten der Voraussetzungen an.

Schritt 1: Einrichten der Voraussetzungen

Verschiedene Plattformen erfordern unterschiedliche Voraussetzungen. Verwenden Sie den Abschnitt mit den Voraussetzungen unten, der zu Ihrer Plattform passt.

Voraussetzungen für Client 5 SDK

Um SSL TLS Webserver/Offload mit Client SDK 5 einzurichten, benötigen Sie Folgendes:

  • Ein aktiver AWS CloudHSM Cluster mit mindestens zwei Hardware-Sicherheitsmodulen () HSM

    Anmerkung

    Sie können einen einzelnen HSM Cluster verwenden, müssen aber zuerst die Haltbarkeit der Client-Schlüssel deaktivieren. Weitere Informationen finden Sie unter Einstellungen für die Haltbarkeit von Client-Schlüsseln verwalten und unter Client SDK 5-Konfigurationstool.

  • Eine EC2 Amazon-Instance, auf der ein Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:

    • Ein Webserver (entweder NGINX oder Apache)

    • Die Open SSL Dynamic Engine für Client SDK 5

  • Ein Krypto-Benutzer (CU), der den privaten Schlüssel des Webservers besitzt und verwaltetHSM.

Um eine Linux-Webserver-Instanz einzurichten und eine CU auf dem HSM

  1. Installieren und konfigurieren Sie die Open SSL Dynamic Engine für AWS CloudHSM. Weitere Informationen zur Installation von Open SSL Dynamic Engine finden Sie unter Open SSL Dynamic Engine for Client SDK 5.

  2. Installieren Sie auf einer EC2 Linux-Instance, die Zugriff auf Ihren Cluster hat, NGINX entweder den Apache-Webserver:

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • Informationen zum Herunterladen der neuesten Version von NGINX auf Amazon Linux 2 finden Sie auf der NGINXWebsite.

      Die neueste Version von, die für Amazon Linux 2 NGINX verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM Open SSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von Open SSL erwartet 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • Informationen zum Herunterladen der neuesten Version von NGINX auf CentOS 7 finden Sie auf der NGINXWebsite.

      Die neueste Version von, die für CentOS 7 NGINX verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM Open SSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von Open erwartet SSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • Informationen zum Herunterladen der neuesten Version von NGINX auf Red Hat 7 finden Sie auf der NGINXWebsite.

      Die neueste Version von, die für Red Hat 7 NGINX verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM Open SSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von Open SSL erwartet 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 20.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 22.04

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  3. Verwenden Sie Cloud HSMCLI, um eine CU zu erstellen. Weitere Informationen zur Verwaltung von HSM Benutzern finden Sie unter HSMBenutzer mit Cloud verwalten HSM CLI.

    Tipp

    Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen sie später, wenn Sie den HTTPS privaten Schlüssel und das Zertifikat für Ihren Webserver generieren oder importieren.

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Generieren oder importieren Sie einen privaten Schlüssel und ein SSL TLS /-Zertifikat fort.

Hinweise

Voraussetzungen für Client SDK 3

Um SSL TLS Webserver/Offload mit Client SDK 3 einzurichten, benötigen Sie Folgendes:

  • Ein aktiver AWS CloudHSM Cluster mit mindestens einemHSM.

  • Eine EC2 Amazon-Instance, auf der ein Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:

    • Der AWS CloudHSM Client und die Befehlszeilentools.

    • Die NGINX oder Apache Webserver-Anwendung.

    • Die AWS CloudHSM dynamische Engine für OpenSSL.

  • Ein Crypto-Benutzer (CU), der den privaten Schlüssel des Webservers besitzt und verwaltetHSM.

Um eine Linux-Webserver-Instanz einzurichten und eine CU auf dem HSM

  1. Führen Sie die Schritte unter Erste Schritte aus. Sie haben dann einen aktiven Cluster mit einer HSM und einer EC2 Amazon-Client-Instance. Ihre EC2 Instance wird mit den Befehlszeilentools konfiguriert. Verwenden Sie diese Client-Instance als Ihren Webserver.

  2. Stellen Sie eine Verbindung mit Ihrer Client-Instance her. Weitere Informationen finden Sie in der EC2 Amazon-Dokumentation unter Herstellen einer Verbindung zu Ihrer Linux-Instance mithilfe von SSH oder Herstellen einer Verbindung zu Ihrer Linux-Instance unter Windows mithilfe von Pu TTY.

  3. Installieren Sie auf einer EC2 Linux-Instance, die Zugriff auf Ihren Cluster hat, NGINX entweder den Apache-Webserver:

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2
    CentOS 7
    Red Hat 7
    Ubuntu 16.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2

  4. (Optional) Fügen Sie Ihrem Cluster weitere HSMs hinzu. Weitere Informationen finden Sie unter Zu einem HSM AWS CloudHSM Cluster hinzufügen.

  5. Verwenden Sie cloudhsm_mgmt_util zum Erstellen eines CU. Weitere Informationen finden Sie unter HSMBenutzer. Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen sie später, wenn Sie den HTTPS privaten Schlüssel und das Zertifikat für Ihren Webserver generieren oder importieren.

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Generieren oder importieren Sie einen privaten Schlüssel und ein SSL TLS /-Zertifikat fort.

Schritt 2: Generieren oder importieren Sie einen privaten Schlüssel und ein SSL TLS /-Zertifikat

Zur Aktivierung HTTPS benötigt Ihre Webserver-Anwendung (NGINXoder Apache) einen privaten Schlüssel und einen entsprechenden SSL/TLS certificate. To use web server SSL/TLS Offload mit AWS CloudHSM, Sie müssen den privaten Schlüssel in einem HSM in Ihrem AWS CloudHSM Cluster speichern. Sie können dafür eine der folgenden Möglichkeiten auswählen:

  • Wenn Sie noch keinen privaten Schlüssel und kein entsprechendes Zertifikat haben, generieren Sie einen privaten Schlüssel in einemHSM. Sie verwenden den privaten Schlüssel, um eine Zertifikatsignieranforderung (CSR) zu erstellen, mit der Sie das TLS ZertifikatSSL/erstellen.

  • Wenn Sie bereits über einen privaten Schlüssel und ein entsprechendes Zertifikat verfügen, importieren Sie den privaten Schlüssel in einHSM.

Unabhängig davon, für welche der oben genannten Methoden Sie sich entscheiden, exportieren Sie einen gefälschten PEM privaten Schlüssel aus derHSM. Dabei handelt es sich um eine private Schlüsseldatei in einem PEM Format, das einen Verweis auf den privaten Schlüssel enthält, der auf dem gespeichert ist HSM (es ist nicht der tatsächliche private Schlüssel). Ihr Webserver verwendet die gefälschte PEM private Schlüsseldatei, um den privaten Schlüssel HSM während des SSL TLS /Offloads zu identifizieren.

Generieren eines privaten Schlüssels und Zertifikats

Generieren eines privaten Schlüssels

In diesem Abschnitt erfahren Sie, wie Sie mit dem Key Management Utility (KMU) von Client 3 ein Schlüsselpaar generieren. SDK Sobald Sie ein key pair in der generiert habenHSM, können Sie es als gefälschte PEM Datei exportieren und das entsprechende Zertifikat generieren.

Private Schlüssel, die mit dem Key Management Utility (KMU) generiert wurden, können sowohl mit Client SDK 3 als auch mit Client SDK 5 verwendet werden.

Installieren und konfigurieren Sie das Key Management Utility (KMU)

  1. Stellen Sie eine Verbindung mit Ihrer Client-Instance her.

  2. Installieren und konfigurieren Sie Client SDK 3.

  3. Führen Sie den folgenden Befehl aus, um den AWS CloudHSM Client zu starten.

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 20.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  4. Führen Sie den folgenden Befehl aus, um das Befehlszeilen-Tool key_mgmt_util zu starten.

    $ /opt/cloudhsm/bin/key_mgmt_util

  5. Führen Sie den folgenden Befehl aus, um sich bei der anzumeldenHSM. Ersetzen <user name> and <password> mit dem Benutzernamen und dem Passwort des kryptografischen Benutzers (CU).

    Command: loginHSM -u CU -s <user name> -p <password>>

Generieren eines privaten Schlüssels

Abhängig von Ihrem Anwendungsfall können Sie entweder ein RSA oder ein EC-Schlüsselpaar generieren. Führen Sie eine der folgenden Aktionen aus:

  • Um einen RSA privaten Schlüssel auf einem zu generieren HSM

    Verwenden Sie den genRSAKeyPair Befehl, um ein RSA key pair zu generieren. In diesem Beispiel wird ein RSA key pair mit einem Modul von 2048, einem öffentlichen Exponenten von 65537 und einer Bezeichnung von generiert tls_rsa_keypair.

    Command: genRSAKeyPair -m 2048 -e 65537 -l tls_rsa_keypair

    Wenn der Befehl erfolgreich war, sollte die folgende Ausgabe angezeigt werden, die darauf hinweist, dass Sie erfolgreich ein RSA key pair generiert haben.

    Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS

                Cfm3GenerateKeyPair:    public key handle: 7    private key handle: 8

                Cluster Status:
                Node id 1 status: 0x00000000 : HSM Return: SUCCESS

  • Um einen privaten EC-Schlüssel auf einem zu generieren HSM

    Verwenden Sie den genECCKeyPair-Befehl, um ein EC-Schlüsselpaar zu generieren. In diesem Beispiel wird ein EC-Schlüsselpaar mit einer Kurven-ID von 2 (entspricht der NID_X9_62_prime256v1 Kurve) und einer Bezeichnung von generiert tls_ec_keypair.

    Command: genECCKeyPair -i 2 -l tls_ec_keypair

    Wenn der Befehl erfolgreich war, sollte die folgende Ausgabe angezeigt werden, die darauf hinweist, dass Sie erfolgreich ein EC-Schlüsselpaar generiert haben.

    Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS    

                Cfm3GenerateKeyPair:    public key handle: 7    private key handle: 8

                Cluster Status:
                Node id 1 status: 0x00000000 : HSM Return: SUCCESS

Exportieren Sie eine gefälschte PEM private Schlüsseldatei

Sobald Sie einen privaten Schlüssel auf der habenHSM, müssen Sie eine gefälschte PEM private Schlüsseldatei exportieren. Diese Datei enthält nicht die eigentlichen Schlüsseldaten, ermöglicht es der Open SSL Dynamic Engine jedoch, den privaten Schlüssel auf der zu identifizierenHSM. Anschließend können Sie den privaten Schlüssel verwenden, um eine Zertifikatsignieranforderung (CSR) zu erstellen und diese signierenCSR, um das Zertifikat zu erstellen.

Anmerkung

Mit dem Key Management Utility (KMU) generierte gefälschte PEM Dateien können sowohl mit Client SDK 3 als auch mit Client SDK 5 verwendet werden.

Identifizieren Sie das Schlüssel-Handle, das dem Schlüssel entspricht, den Sie als Fälschung exportieren möchtenPEM, und führen Sie dann den folgenden Befehl aus, um den privaten Schlüssel in einem gefälschten PEM Format zu exportieren und in einer Datei zu speichern. Ersetzen Sie die folgenden Werte durch Ihre eigenen.

  • <private_key_handle> — Handle des generierten privaten Schlüssels. Dieses Handle wurde durch einen der Schlüsselgenerierungsbefehle im vorangegangenen Schritt erzeugt. Im vorhergehenden Beispiel lautet das Handle des privaten Schlüssels 8.

  • <web_server_fake_PEM.key> — Name der Datei, in die Ihr gefälschter PEM Schlüssel geschrieben wird.

Command: getCaviumPrivKey -k <private_key_handle> -out <web_server_fake_PEM.key>

Beenden

Führen Sie den folgenden Befehl aus, um key_mgmt_util zu beenden.

Command: exit

Sie sollten jetzt eine neue Datei auf Ihrem System haben, die sich in dem von angegebenen Pfad befindet <web_server_fake_PEM.key> im vorherigen Befehl. Diese Datei ist die gefälschte PEM private Schlüsseldatei.

Generieren eines selbstsignierten Zertifikats

Sobald Sie einen gefälschten PEM privaten Schlüssel generiert haben, können Sie diese Datei verwenden, um eine Zertifikatsignieranforderung (CSR) und ein Zertifikat zu generieren.

In einer Produktionsumgebung verwenden Sie normalerweise eine Zertifizierungsstelle (CA), um ein Zertifikat aus einem zu erstellenCSR. Für eine Testumgebung ist keine CA erforderlich. Wenn Sie eine Zertifizierungsstelle verwenden, senden Sie die CSR Datei an sie und verwenden Sie das signierte TLS ZertifikatSSL/, für das sie Ihnen auf Ihrem Webserver zur Verfügung stellenHTTPS.

Als Alternative zur Verwendung einer Zertifizierungsstelle können Sie die AWS CloudHSM Open SSL Dynamic Engine verwenden, um ein selbstsigniertes Zertifikat zu erstellen. Selbstsignierte Zertifikate sind nicht vertrauenswürdig für Browser und sollten in Produktionsumgebungen nicht verwendet werden. Sie können in Testumgebungen verwendet werden.

Warnung

Selbstsignierte Zertifikate sollten nur in einer Testumgebung verwendet werden. Für eine Produktionsumgebung, verwenden Sie eine sicherere Methode, wie z. B. eine Zertifikatstelle, um ein Zertifikat zu erstellen.

Installieren und konfigurieren Sie die Open Dynamic Engine SSL

  1. Stellen Sie eine Verbindung mit Ihrer Client-Instance her.

  2. Führen Sie zur Installation und Konfiguration einen der folgenden Schritte aus:

Generieren eines Zertifikats

  1. Besorgen Sie sich eine Kopie Ihrer gefälschten PEM Datei, die in einem früheren Schritt generiert wurde.

  2. Erstellen Sie eine CSR

    Führen Sie den folgenden Befehl aus, um mit der AWS CloudHSM Open SSL Dynamic Engine eine Zertifikatsignieranforderung zu erstellen (CSR). Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält. Ersetzen <web_server.csr> mit dem Namen der Datei, die Ihre enthältCSR.

    Der Befehl req ist interaktiv. Füllen Sie jedes Feld aus. Die Feldinformationen werden in Ihr SSL TLS /-Zertifikat kopiert. 

    $ openssl req -engine cloudhsm -new -key <web_server_fake_PEM.key> -out <web_server.csr>

  3. Erstellen eines selbstsignierten Zertifikats

    Führen Sie den folgenden Befehl aus, um die AWS CloudHSM Open SSL Dynamic Engine zu verwenden, um Sie CSR mit Ihrem privaten Schlüssel auf Ihrem zu signierenHSM. Dadurch wird ein selbstsigniertes Zertifikat erstellt. Ersetzen Sie die folgenden Werte in dem Befehl durch Ihre eigenen.

    • <web_server.csr> — Name der Datei, die die enthältCSR.

    • <web_server_fake_PEM.key> — Name der Datei, die den gefälschten PEM privaten Schlüssel enthält.

    • <web_server.crt> — Name der Datei, die Ihr Webserver-Zertifikat enthalten wird.

    $ openssl x509 -engine cloudhsm -req -days 365 -in <web_server.csr> -signkey <web_server_fake_PEM.key> -out <web_server.crt>

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 3: Konfigurieren des Webservers fort.

Importieren Sie einen vorhandenen privaten Schlüssel und ein vorhandenes Zertifikat

Möglicherweise haben Sie bereits einen privaten Schlüssel und ein entsprechendesSSL/TLS-Zertifikat, das Sie HTTPS auf Ihrem Webserver verwenden. Wenn ja, können Sie diesen Schlüssel in ein importieren, HSM indem Sie die Schritte in diesem Abschnitt befolgen.

Anmerkung

Einige Hinweise zu Importen von privaten Schlüsseln und zur SDK Client-Kompatibilität:

  • Für den Import eines vorhandenen privaten Schlüssels ist Client SDK 3 erforderlich.

  • Sie können private Schlüssel von Client SDK 3 mit Client SDK 5 verwenden.

  • Open SSL Dynamic Engine for Client SDK 3 unterstützt die neuesten Linux-Plattformen nicht, die Implementierung von Open SSL Dynamic Engine for Client SDK 5. Sie können einen vorhandenen privaten Schlüssel mit dem im Lieferumfang von Client SDK 3 enthaltenen Key Management Utility (KMU) importieren und dann diesen privaten Schlüssel und die Implementierung von Open SSL Dynamic Engine mit Client SDK 5 verwenden, um die neuesten Linux-Plattformen zu SSL TLS unterstützen/auszulagern.

Um einen vorhandenen privaten Schlüssel in einen HSM mit Client SDK 3 zu importieren

  1. Connect zu Ihrer EC2 Amazon-Client-Instance her. Falls erforderlich, kopieren Sie Ihren vorhandenen privaten Schlüssel und das Zertifikat in die Instance.

  2. Installieren und konfigurieren Sie Client SDK 3

  3. Führen Sie den folgenden Befehl aus, um den AWS CloudHSM Client zu starten.

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 20.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  4. Führen Sie den folgenden Befehl aus, um das Befehlszeilen-Tool key_mgmt_util zu starten.

    $ /opt/cloudhsm/bin/key_mgmt_util

  5. Führen Sie den folgenden Befehl aus, um sich bei der anzumeldenHSM. Ersetzen <user name> and <password> mit dem Benutzernamen und dem Passwort des kryptografischen Benutzers (CU). 

    Command: loginHSM -u CU -s <user name> -p <password>

  6. Führen Sie die folgenden Befehle aus, um Ihren privaten Schlüssel in einen HSM zu importieren.

    1. Führen Sie den folgenden Befehl aus, um einen symmetrischen Schlüssel zum Packen zu erstellen, der nur für die aktuelle Sitzung gültig ist. Der Befehl und die Ausgabe sind gezeigt. 

      Command: genSymKey -t 31 -s 16 -sess -l wrapping_key_for_import

Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created.  Key Handle: 6
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

    2. Führen Sie den folgenden Befehl aus, um Ihren vorhandenen privaten Schlüssel in einen zu importierenHSM. Der Befehl und die Ausgabe sind gezeigt. Ersetzen Sie die folgenden Werte durch Ihre eigenen:

      • <web_server_existing.key> — Name der Datei, die Ihren privaten Schlüssel enthält.

      • <web_server_imported_key> — Bezeichnung für Ihren importierten privaten Schlüssel.

      • <wrapping_key_handle> — Umschließendes Schlüssel-Handle, das durch den vorherigen Befehl generiert wurde. Im vorherigen Beispiel lautet die Referenz des Schlüssels zum packen 6.

      Command: importPrivateKey -f <web_server_existing.key> -l <web_server_imported_key> -w <wrapping_key_handle>

BER encoded key length is 1219
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Private Key Unwrapped.  Key Handle: 8
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

  7. Führen Sie den folgenden Befehl aus, um den privaten Schlüssel in einem falschen PEM Format zu exportieren und in einer Datei zu speichern. Ersetzen Sie die folgenden Werte durch Ihre eigenen.

    • <private_key_handle> — Handle des importierten privaten Schlüssels. Dieses Handle wurde im zweiten Befehl des vorhergehenden Schritts generiert. Im vorhergehenden Beispiel lautet das Handle des privaten Schlüssels 8.

    • <web_server_fake_PEM.key> — Name der Datei, die Ihren exportierten gefälschten PEM privaten Schlüssel enthält. 

    Command: getCaviumPrivKey -k <private_key_handle> -out <web_server_fake_PEM.key>

  8. Führen Sie den folgenden Befehl aus, um key_mgmt_util zu beenden.

    Command: exit

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 3: Konfigurieren des Webservers fort.

Schritt 3: Konfigurieren des Webservers

Aktualisieren Sie die Konfiguration Ihrer Webserver-Software, um das HTTPS Zertifikat und den entsprechenden gefälschten PEM privaten Schlüssel zu verwenden, den Sie im vorherigen Schritt erstellt haben. Denken Sie daran, Ihre vorhandenen Zertifikate und Schlüssel zu sichern, bevor Sie beginnen. Damit ist die Einrichtung Ihrer Linux-Webserversoftware SSL TLS für/offload with AWS CloudHSM abgeschlossen.

Führen Sie die Schritte aus einem der folgenden Abschnitte aus.

NGINXWebserver konfigurieren

Verwenden Sie diesen Abschnitt, um NGINX auf unterstützten Plattformen zu konfigurieren.

Um die Webserver-Konfiguration für zu aktualisieren NGINX

  1. Stellen Sie eine Verbindung mit Ihrer Client-Instance her.

  2. Führen Sie den folgenden Befehl aus, um die erforderlichen Verzeichnisse für das Webserverzertifikat und den gefälschten PEM privaten Schlüssel zu erstellen. 

    $ sudo mkdir -p /etc/pki/nginx/private

  3. Führen Sie den folgenden Befehl aus, um Ihr Webserverzertifikat an die erforderliche Stelle zu kopieren. Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    $ sudo cp <web_server.crt> /etc/pki/nginx/server.crt

  4. Führen Sie den folgenden Befehl aus, um Ihren gefälschten PEM privaten Schlüssel an den gewünschten Ort zu kopieren. Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren gefälschten PEM privaten Schlüssel enthält.

    $ sudo cp <web_server_fake_PEM.key> /etc/pki/nginx/private/server.key

  5. Führen Sie den folgenden Befehl aus, um die Eigentümerschaft für diese Dateien zu ändern, sodass der Benutzer mit dem Namen nginx diese lesen kann. 

    $ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key

  6. Führen Sie den folgenden Befehl aus, um die Datei /etc/nginx/nginx.conf zu sichern.

    $ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup

  7. Aktualisieren Sie die NGINX Konfiguration.

    Anmerkung

    Jeder Cluster kann maximal 1000 NGINX Arbeitsprozesse auf allen NGINX Webservern unterstützen.

    Amazon Linux

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:

    • Wenn Sie Client SDK 3 verwenden

      ssl_engine cloudhsm;
env n3fips_password;

    • Wenn Sie Client SDK 5 verwenden

      ssl_engine cloudhsm;
env CLOUDHSM_PIN;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}
    Amazon Linux 2

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:

    • Wenn Sie Client SDK 3 verwenden

      ssl_engine cloudhsm;
env n3fips_password;

    • Wenn Sie Client SDK 5 verwenden

      ssl_engine cloudhsm;
env CLOUDHSM_PIN;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}
    CentOS 7

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:

    • Wenn Sie Client SDK 3 verwenden

      ssl_engine cloudhsm;
env n3fips_password;

    • Wenn Sie Client SDK 5 verwenden

      ssl_engine cloudhsm;
env CLOUDHSM_PIN;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.    
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}
    CentOS 8

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu: 

    ssl_engine cloudhsm;
env CLOUDHSM_PIN;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}
    Red Hat 7

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu:

    • Wenn Sie Client SDK 3 verwenden

      ssl_engine cloudhsm;
env n3fips_password;

    • Wenn Sie Client SDK 5 verwenden

      ssl_engine cloudhsm;
env CLOUDHSM_PIN;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}
    Red Hat 8

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu: 

    ssl_engine cloudhsm;
env CLOUDHSM_PIN;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}
    Ubuntu 16.04 LTS

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu: 

    ssl_engine cloudhsm;
    env n3fips_password;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }
    Ubuntu 18.04 LTS

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu: 

    ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }
    Ubuntu 20.04 LTS

    Verwenden Sie einen Texteditor, um die Datei /etc/nginx/nginx.conf zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie am Anfang der Datei die folgende Zeilen hinzu: 

    ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

    Fügen Sie dann dem TLS Abschnitt der Datei Folgendes hinzu:

    # Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

    Speichern Sie die Datei.

  8. Sichern Sie die systemd-Konfigurationsdatei und legen Sie dann den EnvironmentFile-Pfad fest.

    Amazon Linux

    Es ist keine Aktion erforderlich.

    Amazon Linux 2

    1. Sichern Sie die Datei nginx.service. 

      $ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

    2. Öffnen Sie die Datei /lib/systemd/system/nginx.service in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu: 

      EnvironmentFile=/etc/sysconfig/nginx
    CentOS 7

    Es ist keine Aktion erforderlich.

    CentOS 8

    1. Sichern Sie die Datei nginx.service. 

      $ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

    2. Öffnen Sie die Datei /lib/systemd/system/nginx.service in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu: 

      EnvironmentFile=/etc/sysconfig/nginx
    Red Hat 7

    Es ist keine Aktion erforderlich.

    Red Hat 8

    1. Sichern Sie die Datei nginx.service. 

      $ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

    2. Öffnen Sie die Datei /lib/systemd/system/nginx.service in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu: 

      EnvironmentFile=/etc/sysconfig/nginx
    Ubuntu 16.04

    1. Sichern Sie die Datei nginx.service. 

      $ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

    2. Öffnen Sie die Datei /lib/systemd/system/nginx.service in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu: 

      EnvironmentFile=/etc/sysconfig/nginx
    Ubuntu 18.04

    1. Sichern Sie die Datei nginx.service. 

      $ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

    2. Öffnen Sie die Datei /lib/systemd/system/nginx.service in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu: 

      EnvironmentFile=/etc/sysconfig/nginx
    Ubuntu 20.04 LTS

    1. Sichern Sie die Datei nginx.service. 

      $ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

    2. Öffnen Sie die Datei /lib/systemd/system/nginx.service in einem Texteditor. Fügen Sie dann im Abschnitt [Service] den folgenden Pfad hinzu: 

      EnvironmentFile=/etc/sysconfig/nginx
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  9. Überprüfen Sie, ob die Datei /etc/sysconfig/nginx vorhanden ist, und führen Sie dann einen der folgenden Schritte aus:

    • Wenn die Datei vorhanden ist, sichern Sie die Datei, indem Sie den folgenden Befehl ausführen:

      $ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup

    • Öffnen Sie einen Texteditor und erstellen Sie im Ordner /etc/sysconfig/ eine Datei mit dem Namen nginx, wenn die Datei nicht vorhanden ist.

  10. Konfigurieren Sie die NGINX Umgebung.

    Anmerkung

    Client SDK 5 führt die CLOUDHSM_PIN Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein.

    Amazon Linux

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    • Wenn Sie Client SDK 3 verwenden

      n3fips_password=<CU user name>:<password>

    • Wenn Sie Client SDK 5 verwenden

      CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    Amazon Linux 2

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    • Wenn Sie Client SDK 3 verwenden

      n3fips_password=<CU user name>:<password>

    • Wenn Sie Client SDK 5 verwenden

      CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    CentOS 7

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    • Wenn Sie Client SDK 3 verwenden

      n3fips_password=<CU user name>:<password>

    • Wenn Sie Client SDK 5 verwenden

      CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    CentOS 8

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    Red Hat 7

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    • Wenn Sie Client SDK 3 verwenden

      n3fips_password=<CU user name>:<password>

    • Wenn Sie Client SDK 5 verwenden

      CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    Red Hat 8

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    Ubuntu 16.04 LTS

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    n3fips_password=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    Ubuntu 18.04 LTS

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    Ubuntu 20.04 LTS

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Speichern Sie die Datei.

    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  11. Starten Sie den NGINX Webserver.

    Amazon Linux

    Öffnen Sie die Datei /etc/sysconfig/nginx in einem Text-Editor. Dies erfordert Linux-Root-Berechtigungen. Fügen Sie die Anmeldeinformationen für den Crypto-Benutzer (CU) hinzu:

    $ sudo service nginx start
    Amazon Linux 2

    Stoppen Sie jeden laufenden NGINX Prozess

    $ sudo systemctl stop nginx

    Laden Sie die systemd-Konfiguration neu, um die neuesten Änderungen zu erhalten

    $ sudo systemctl daemon-reload

    Starten Sie den NGINX Prozess

    $ sudo systemctl start nginx
    CentOS 7

    Stoppen Sie jeden laufenden NGINX Prozess

    $ sudo systemctl stop nginx

    Laden Sie die systemd-Konfiguration neu, um die neuesten Änderungen zu erhalten

    $ sudo systemctl daemon-reload

    Starten Sie den NGINX Prozess

    $ sudo systemctl start nginx
    CentOS 8

    Stoppen Sie jeden laufenden NGINX Prozess

    $ sudo systemctl stop nginx

    Laden Sie die systemd-Konfiguration neu, um die neuesten Änderungen zu erhalten

    $ sudo systemctl daemon-reload

    Starten Sie den NGINX Prozess

    $ sudo systemctl start nginx
    Red Hat 7

    Stoppen Sie jeden laufenden NGINX Prozess

    $ sudo systemctl stop nginx

    Laden Sie die systemd-Konfiguration neu, um die neuesten Änderungen zu erhalten

    $ sudo systemctl daemon-reload

    Starten Sie den NGINX Prozess

    $ sudo systemctl start nginx
    Red Hat 8

    Stoppen Sie jeden laufenden NGINX Prozess

    $ sudo systemctl stop nginx

    Laden Sie die systemd-Konfiguration neu, um die neuesten Änderungen zu erhalten

    $ sudo systemctl daemon-reload

    Starten Sie den NGINX Prozess

    $ sudo systemctl start nginx
    Ubuntu 16.04 LTS

    Stoppen Sie jeden laufenden NGINX Prozess

    $ sudo systemctl stop nginx

    Laden Sie die systemd-Konfiguration neu, um die neuesten Änderungen zu erhalten

    $ sudo systemctl daemon-reload

    Starten Sie den NGINX Prozess

    $ sudo systemctl start nginx
    Ubuntu 18.04 LTS

    Stoppen Sie jeden laufenden NGINX Prozess

    $ sudo systemctl stop nginx

    Laden Sie die systemd-Konfiguration neu, um die neuesten Änderungen zu erhalten

    $ sudo systemctl daemon-reload

    Starten Sie den NGINX Prozess

    $ sudo systemctl start nginx
    Ubuntu 20.04 LTS

    Stoppen Sie jeden laufenden NGINX Prozess

    $ sudo systemctl stop nginx

    Laden Sie die systemd-Konfiguration neu, um die neuesten Änderungen zu erhalten

    $ sudo systemctl daemon-reload

    Starten Sie den NGINX Prozess

    $ sudo systemctl start nginx
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  12. (Optional) Konfigurieren Sie Ihre Plattform so, dass sie NGINX beim Start beginnt.

    Amazon Linux
    $ sudo chkconfig nginx on
    Amazon Linux 2
    $ sudo systemctl enable nginx
    CentOS 7

    Es ist keine Aktion erforderlich.

    CentOS 8
    $ sudo systemctl enable nginx
    Red Hat 7

    Es ist keine Aktion erforderlich.

    Red Hat 8
    $ sudo systemctl enable nginx
    Ubuntu 16.04 LTS
    $ sudo systemctl enable nginx
    Ubuntu 18.04 LTS
    $ sudo systemctl enable nginx
    Ubuntu 20.04 LTS
    $ sudo systemctl enable nginx
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

Nachdem Sie Ihre Webserverkonfiguration aktualisiert haben, gehen Sie zu Schritt 4: Aktivieren Sie HTTPS den Datenverkehr und überprüfen Sie das Zertifikat.

Konfigurieren des Apache-Webservers

Verwenden Sie diesen Abschnitt, um Apache auf unterstützten Plattformen zu konfigurieren.

So aktualisieren Sie die Webserverkonfiguration für Apache

  1. Connect zu Ihrer EC2 Amazon-Client-Instance her.

  2. Definieren Sie Standardspeicherorte für Zertifikate und private Schlüssel für Ihre Plattform.

    Amazon Linux

    Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
    Amazon Linux 2

    Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
    CentOS 7

    Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
    CentOS 8

    Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
    Red Hat 7

    Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
    Red Hat 8

    Stellen Sie sicher, dass in der /etc/httpd/conf.d/ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
    Ubuntu 16.04 LTS

    Stellen Sie sicher, dass in der /etc/apache2/sites-available/default-ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key
    Ubuntu 18.04 LTS

    Stellen Sie sicher, dass in der /etc/apache2/sites-available/default-ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key
    Ubuntu 20.04 LTS

    Stellen Sie sicher, dass in der /etc/apache2/sites-available/default-ssl.conf-Datei die folgenden Werte vorhanden sind:

    SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  3. Kopieren Sie Ihr Webserver-Zertifikat an den für Ihre Plattform erforderlichen Speicherort.

    Amazon Linux
    $ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    Amazon Linux 2
    $ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    CentOS 7
    $ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    CentOS 8
    $ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    Red Hat 7
    $ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    Red Hat 8
    $ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    Ubuntu 16.04 LTS
    $ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    Ubuntu 18.04 LTS
    $ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    Ubuntu 20.04 LTS
    $ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt

    Ersetzen <web_server.crt> mit dem Namen Ihres Webserver-Zertifikats.

    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  4. Kopieren Sie Ihren gefälschten PEM privaten Schlüssel an den für Ihre Plattform erforderlichen Speicherort.

    Amazon Linux
    $ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren gefälschten PEM privaten Schlüssel enthält.

    Amazon Linux 2
    $ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält.

    CentOS 7
    $ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält.

    CentOS 8
    $ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält.

    Red Hat 7
    $ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält.

    Red Hat 8
    $ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält.

    Ubuntu 16.04 LTS
    $ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält.

    Ubuntu 18.04 LTS
    $ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält.

    Ubuntu 20.04 LTS
    $ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key

    Ersetzen <web_server_fake_PEM.key> mit dem Namen der Datei, die Ihren falschen PEM privaten Schlüssel enthält.

    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  5. Ändern Sie den Besitz dieser Dateien, falls Ihre Plattform dies erfordert.

    Amazon Linux
    $ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key

    Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.

    Amazon Linux 2
    $ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key

    Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.

    CentOS 7
    $ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key

    Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.

    CentOS 8
    $ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key

    Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.

    Red Hat 7
    $ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key

    Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.

    Red Hat 8
    $ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key

    Gewährt dem Benutzer mit dem Namen Apache Leseberechtigung.

    Ubuntu 16.04 LTS

    Es ist keine Aktion erforderlich.

    Ubuntu 18.04 LTS

    Es ist keine Aktion erforderlich.

    Ubuntu 20.04 LTS

    Es ist keine Aktion erforderlich.

    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  6. Konfigurieren Sie Apache-Direktiven für Ihre Plattform.

    Amazon Linux

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/httpd/conf.d/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

    Speichern Sie die Datei.

    Amazon Linux 2

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/httpd/conf.d/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

    Speichern Sie die Datei.

    CentOS 7

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/httpd/conf.d/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

    Speichern Sie die Datei.

    CentOS 8

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/httpd/conf.d/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

    Speichern Sie die Datei.

    Red Hat 7

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/httpd/conf.d/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

    Speichern Sie die Datei.

    Red Hat 8

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/httpd/conf.d/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

    Speichern Sie die Datei.

    Ubuntu 16.04 LTS

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/apache2/mods-available/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

    Speichern Sie die Datei.

    Aktivieren Sie das SSL Modul und die SSL Standard-Site-Konfiguration:

    $ sudo a2enmod ssl
$ sudo a2ensite default-ssl
    Ubuntu 18.04 LTS

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/apache2/mods-available/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

    Speichern Sie die Datei.

    Aktivieren Sie das SSL Modul und die SSL Standard-Site-Konfiguration:

    $ sudo a2enmod ssl
$ sudo a2ensite default-ssl
    Ubuntu 20.04 LTS

    Suchen Sie die SSL Datei für diese Plattform:

    /etc/apache2/mods-available/ssl.conf

    Diese Datei enthält Apache-Direktiven, die definieren, wie Ihr Server laufen soll. Direktiven erscheinen auf der linken Seite, gefolgt von einem Wert. Verwenden Sie einen Texteditor, um diese Datei zu bearbeiten. Dies erfordert Linux-Root-Berechtigungen.

    Aktualisieren Sie die folgenden Direktiven oder geben Sie sie mit diesen Werten ein:

    SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

    Speichern Sie die Datei.

    Aktivieren Sie das SSL Modul und die SSL Standard-Site-Konfiguration:

    $ sudo a2enmod ssl
$ sudo a2ensite default-ssl
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  7. Konfigurieren Sie eine Datei mit Umgebungswerten für Ihre Plattform.

    Amazon Linux

    Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd

    Amazon Linux 2

    Öffnen Sie die HTTPD-Servicedatei: 

    /lib/systemd/system/httpd.service

    Fügen Sie unter dem Abschnitt [Service] Folgendes hinzu: 

    EnvironmentFile=/etc/sysconfig/httpd
    CentOS 7

    Öffnen Sie die HTTPD-Servicedatei: 

    /lib/systemd/system/httpd.service

    Fügen Sie unter dem Abschnitt [Service] Folgendes hinzu: 

    EnvironmentFile=/etc/sysconfig/httpd
    CentOS 8

    Öffnen Sie die HTTPD-Servicedatei: 

    /lib/systemd/system/httpd.service

    Fügen Sie unter dem Abschnitt [Service] Folgendes hinzu: 

    EnvironmentFile=/etc/sysconfig/httpd
    Red Hat 7

    Öffnen Sie die HTTPD-Servicedatei: 

    /lib/systemd/system/httpd.service

    Fügen Sie unter dem Abschnitt [Service] Folgendes hinzu: 

    EnvironmentFile=/etc/sysconfig/httpd
    Red Hat 8

    Öffnen Sie die HTTPD-Servicedatei: 

    /lib/systemd/system/httpd.service

    Fügen Sie unter dem Abschnitt [Service] Folgendes hinzu: 

    EnvironmentFile=/etc/sysconfig/httpd
    Ubuntu 16.04 LTS

    Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd

    Ubuntu 18.04 LTS

    Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd

    Ubuntu 20.04 LTS

    Es ist keine Aktion erforderlich. Umgebungswerte werden gehen zu /etc/sysconfig/httpd

    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  8. Legen Sie in der Datei, in der Umgebungsvariablen für Ihre Plattform gespeichert sind, eine Umgebungsvariable fest, die die Anmeldeinformationen für den Crypto-Benutzer (CU) enthält:

    Amazon Linux

    Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd zu bearbeiten.

    • Wenn Sie Client SDK 3 verwenden

      n3fips_password=<CU user name>:<password>

    • Wenn Sie Client SDK 5 verwenden

      CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Amazon Linux 2

    Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd zu bearbeiten.

    • Wenn Sie Client SDK 3 verwenden

      n3fips_password=<CU user name>:<password>

    • Wenn Sie Client SDK 5 verwenden

      CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    CentOS 7

    Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd zu bearbeiten.

    • Wenn Sie Client SDK 3 verwenden

      n3fips_password=<CU user name>:<password>

    • Wenn Sie Client SDK 5 verwenden

      CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    CentOS 8

    Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd zu bearbeiten.

    CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Red Hat 7

    Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd zu bearbeiten.

    • Wenn Sie Client SDK 3 verwenden

      n3fips_password=<CU user name>:<password>

    • Wenn Sie Client SDK 5 verwenden

      CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Red Hat 8

    Verwenden Sie einen Texteditor, um /etc/sysconfig/httpd zu bearbeiten.

    CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Anmerkung

    Client SDK 5 führt die CLOUDHSM_PIN Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein.

    Ubuntu 16.04 LTS

    Verwenden Sie einen Texteditor, um /etc/apache2/envvars zu bearbeiten.

    export n3fips_password=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Ubuntu 18.04 LTS

    Verwenden Sie einen Texteditor, um /etc/apache2/envvars zu bearbeiten.

    export CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Anmerkung

    Client SDK 5 führt die CLOUDHSM_PIN Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein. In Client SDK 3 haben Sie die CU-Anmeldeinformationen in der n3fips_password Umgebungsvariablen gespeichert. Client SDK 5 unterstützt beide Umgebungsvariablen, wir empfehlen jedoch die VerwendungCLOUDHSM_PIN.

    Ubuntu 20.04 LTS

    Verwenden Sie einen Texteditor, um /etc/apache2/envvars zu bearbeiten.

    export CLOUDHSM_PIN=<CU user name>:<password>

    Ersetzen <CU user name> and <password> mit den CU-Anmeldeinformationen.

    Anmerkung

    Client SDK 5 führt die CLOUDHSM_PIN Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein. In Client SDK 3 haben Sie die CU-Anmeldeinformationen in der n3fips_password Umgebungsvariablen gespeichert. Client SDK 5 unterstützt beide Umgebungsvariablen, wir empfehlen jedoch die VerwendungCLOUDHSM_PIN.

    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  9. Starten Sie den Apache-Webserver.

    Amazon Linux
    $ sudo systemctl daemon-reload
$ sudo service httpd start
    Amazon Linux 2
    $ sudo systemctl daemon-reload
$ sudo service httpd start
    CentOS 7
    $ sudo systemctl daemon-reload
$ sudo service httpd start
    CentOS 8
    $ sudo systemctl daemon-reload
$ sudo service httpd start
    Red Hat 7
    $ sudo systemctl daemon-reload
$ sudo service httpd start
    Red Hat 8
    $ sudo systemctl daemon-reload
$ sudo service httpd start
    Ubuntu 16.04 LTS
    $ sudo service apache2 start
    Ubuntu 18.04 LTS
    $ sudo service apache2 start
    Ubuntu 20.04 LTS
    $ sudo service apache2 start
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

  10. (Optional) Konfigurieren Sie Ihre Plattform so, dass Apache beim Start gestartet wird.

    Amazon Linux
    $ sudo chkconfig httpd on
    Amazon Linux 2
    $ sudo chkconfig httpd on
    CentOS 7
    $ sudo chkconfig httpd on
    CentOS 8
    $ systemctl enable httpd
    Red Hat 7
    $ sudo chkconfig httpd on
    Red Hat 8
    $ systemctl enable httpd
    Ubuntu 16.04 LTS
    $ sudo systemctl enable apache2
    Ubuntu 18.04 LTS
    $ sudo systemctl enable apache2
    Ubuntu 20.04 LTS
    $ sudo systemctl enable apache2
    Ubuntu 22.04 LTS

    Support für Open SSL Dynamic Engine ist noch nicht verfügbar.

Nachdem Sie Ihre Webserverkonfiguration aktualisiert haben, gehen Sie zu Schritt 4: Aktivieren Sie HTTPS den Datenverkehr und überprüfen Sie das Zertifikat.

Schritt 4: Aktivieren Sie HTTPS den Datenverkehr und überprüfen Sie das Zertifikat

Nachdem Sie Ihren Webserver fürSSL/TLSoffload with konfiguriert haben AWS CloudHSM, fügen Sie Ihre Webserver-Instanz einer Sicherheitsgruppe hinzu, die HTTPS eingehenden Datenverkehr zulässt. Dadurch können Clients, wie z. B. Webbrowser, eine HTTPS Verbindung mit Ihrem Webserver herstellen. Stellen Sie dann eine HTTPS Verbindung zu Ihrem Webserver her und stellen Sie sicher, dass er das Zertifikat verwendet, das Sie für SSL TLS /Offload mit AWS CloudHSM konfiguriert haben.

Aktivieren Sie eingehende Verbindungen HTTPS

Um von einem Client (z. B. einem Webbrowser) aus eine Verbindung zu Ihrem Webserver herzustellen, erstellen Sie eine Sicherheitsgruppe, die eingehende HTTPS Verbindungen zulässt. Insbesondere sollte sie eingehende TCP Verbindungen auf Port 443 zulassen. Weisen Sie diese Sicherheitsgruppe Ihrem Webserver zu.

Um eine Sicherheitsgruppe für Ihren Webserver zu erstellen HTTPS und sie diesem zuzuweisen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie Sicherheitsgruppe erstellen.

  4. Führen Sie für Sicherheitsgruppe erstellen die folgenden Schritte aus:

    1. Geben Sie in das Feld Sicherheitsgruppenname einen Namen für die Sicherheitsgruppe ein, die Sie erstellen.

    2. (Optional) Geben Sie eine Beschreibung der Sicherheitsgruppe ein, die Sie erstellen.

    3. Wählen Sie für die VPC, VPC die Ihre EC2 Webserver-Amazon-Instance enthält.

    4. Wählen Sie Regel hinzufügen aus.

    5. Wählen Sie unter Typ eine Option HTTPSaus dem Dropdown-Fenster aus.

    6. Geben Sie für Quelle einen Quellspeicherort ein.

    7. Wählen Sie Sicherheitsgruppe erstellen aus.

  5. Wählen Sie im Navigationsbereich Instances aus.

  6. Aktivieren Sie das Kontrollkästchen neben Ihrer Webserver-Instance.

  7. Wählen Sie das Drop-down-Menü Aktionen oben auf der Seite. Wählen Sie Sicherheit und dann Sicherheitsgruppen ändern aus.

  8. Wählen Sie unter Zugeordnete Sicherheitsgruppen das Suchfeld aus und wählen Sie die Sicherheitsgruppe aus, für die Sie erstellt habenHTTPS. Wählen Sie dann Sicherheitsgruppen hinzufügen aus.

  9. Wählen Sie Speichern.

Stellen Sie sicher, dass das von Ihnen konfigurierte Zertifikat HTTPS verwendet wird

Nachdem Sie den Webserver zu einer Sicherheitsgruppe hinzugefügt haben, können Sie überprüfen, ob SSL TLS /offload Ihr selbstsigniertes Zertifikat verwendet. Sie können dies mit einem Webbrowser oder mit einem Tool wie Open s_client tun. SSL

Zur SSL TLS Verifizierung/zum Ausladen mit einem Webbrowser

  1. Verwenden Sie einen Webbrowser, um über den öffentlichen DNS Namen oder die IP-Adresse des Servers eine Verbindung zu Ihrem Webserver herzustellen. Stellen Sie sicher, dass das URL in der Adressleiste mit https://beginnt. Beispiel, https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/.

    Tipp

    Sie können einen DNS Service wie Amazon Route 53 verwenden, um den Domainnamen Ihrer Website (z. B. https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing Traffic to an Amazon EC2 Instance im Amazon Route 53 Developer Guide oder in der Dokumentation zu Ihrem DNS Service.

  2. Zeigen Sie das Webserverzertifikat mit Ihrem Webbrowser an. Weitere Informationen finden Sie hier:

    • Wenn Sie Mozilla Firefox nutzen, sehen Sie sich die Informationen auf der Mozilla Support-Website unter Zertifikat anzeigen an.

    • Wenn Sie Google Chrome verwenden, sehen Sie sich die Informationen auf der „Google Tools für Web Developers“-Website unter Sicherheitsprobleme verstehen an.

    Andere Webbrowser unterstützen möglicherweise ähnliche Funktionen, über die Sie das Webserverzertifikat anzeigen können.

  3. Stellen Sie sicher, dass es sich bei dem TLS ZertifikatSSL/um das Zertifikat handelt, für dessen Verwendung Sie Ihren Webserver konfiguriert haben.

UmSSL//TLSoffload mit Open SSL s_client zu verifizieren

  1. Führen Sie den folgenden SSL Open-Befehl aus, um eine Verbindung zu Ihrem Webserver herzustellen. HTTPS Ersetzen <server name> mit dem öffentlichen DNS Namen oder der IP-Adresse Ihres Webservers. 

    openssl s_client -connect <server name>:443
    Tipp

    Sie können einen DNS Service wie Amazon Route 53 verwenden, um den Domainnamen Ihrer Website (z. B. https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing Traffic to an Amazon EC2 Instance im Amazon Route 53 Developer Guide oder in der Dokumentation zu Ihrem DNS Service.

  2. Stellen Sie sicher, dass es sich bei dem TLS ZertifikatSSL/um das Zertifikat handelt, für dessen Verwendung Sie Ihren Webserver konfiguriert haben.

Sie haben jetzt eine Website, mit der gesichert istHTTPS. Der private Schlüssel für den Webserver wird in einem HSM in Ihrem AWS CloudHSM Cluster gespeichert.

Informationen zum Hinzufügen eines Load Balancers finden Sie unter Fügen Sie einen Load Balancer mit Elastic Load Balancing für hinzu AWS CloudHSM(optional).