Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS CloudHSM SSL/TLS offload di Linux menggunakan NGINX atau Apache dengan OpenSSL
Topik ini memberikan step-by-step instruksi untuk mengatur SSL/TLS offload dengan AWS CloudHSM pada server web Linux.
**Topics**
+ [Ikhtisar](#ssl-offload-linux-openssl-overview)
+ [Langkah 1: Siapkan prasyarat](#ssl-offload-prerequisites)
+ [Langkah 2: Hasilkan kunci pribadi dan SSL/TLS sertifikat](#ssl-offload-import-or-generate-private-key-and-certificate)
+ [Langkah 3: Konfigurasikan server web](#ssl-offload-configure-web-server)
+ [Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat](#ssl-offload-enable-traffic-and-verify-certificate)
## Ikhtisar
Di Linux, perangkat lunak server web [NGINX](https://nginx.org/en/) dan [Apache HTTP Server](https://httpd.apache.org/) terintegrasi dengan [OpenSSL](https://www.openssl.org/) untuk mendukung HTTPS. [Mesin AWS CloudHSM dinamis untuk OpenSSL](openssl-library.md) menyediakan antarmuka yang memungkinkan perangkat lunak server web untuk menggunakan di cluster Anda untuk HSMs pembongkaran kriptografi dan penyimpanan kunci. Mesin OpenSSL adalah jembatan yang menghubungkan server web ke klaster AWS CloudHSM .
Untuk menyelesaikan tutorial ini, Anda harus terlebih dahulu memilih apakah akan menggunakan perangkat lunak server web NGINX atau Apache di Linux. Kemudian, tutorial menunjukkan cara melakukan hal berikut:
+ Instal perangkat lunak server web pada instans Amazon EC2.
+ Atur konfigurasi perangkat lunak server web untuk mendukung HTTPS dengan kunci privat yang tersimpan di klaster AWS CloudHSM .
+ (Opsional) Gunakan Amazon EC2 untuk membuat instans server web kedua dan Elastic Load Balancing untuk membuat penyeimbang beban. Menggunakan penyeimbang beban dapat meningkatkan performa dengan mendistribusikan beban di beberapa server. Hal ini juga dapat memberikan redundansi dan ketersediaan yang lebih tinggi jika satu atau lebih server gagal.
Saat Anda siap memulai, buka [Langkah 1: Siapkan prasyarat](#ssl-offload-prerequisites).
## Langkah 1: Siapkan prasyarat
Platform yang berbeda memerlukan prasyarat yang berbeda. Gunakan bagian prasyarat di bawah ini yang sesuai dengan platform Anda.
### Prasyarat untuk Klien SDK 5
Untuk mengatur SSL/TLS offload server web dengan Client SDK 5, Anda memerlukan yang berikut ini:
+ AWS CloudHSM Cluster aktif dengan setidaknya dua modul keamanan perangkat keras (HSM)
**catatan**
Anda dapat menggunakan satu HSM klaster, tetapi Anda harus terlebih dahulu menonaktifkan daya tahan kunci klien. Untuk informasi selengkapnya, lihat [Kelola Pengaturan Daya Tahan Kunci Klien](working-client-sync.md#client-sync-sdk8) dan [Alat Konfigurasi Klien SDK 5](configure-sdk-5.md).
+ Instans Amazon EC2 menjalankan sistem operasi Linux dengan perangkat lunak berikut diinstal:
+ Sebuah server web (baik NGINX atau Apache)
+ OpenSSL Dynamic Engine untuk Klien SDK 5
+ [Pengguna kripto](understanding-users.md#crypto-user-chsm-cli) (CU) harus memiliki dan mengelola kunci privat server web pada HSM.
**Untuk mengatur sebuah instans server web Linux dan membuat CU pada HSM**
1. Instal dan konfigurasikan OpenSSL Dynamic Engine untuk. AWS CloudHSM Untuk informasi selengkapnya tentang menginstal OpenSSL Dynamic Engine, lihat [ OpenSSL Dynamic Engine untuk Klien SDK 5](openssl5-install.md).
1. Pada instans EC2 Linux yang memiliki akses ke cluster Anda, instal server web NGINX atau Apache:
------
#### [ Amazon Linux 2 ]
+ Untuk informasi tentang cara mengunduh versi terbaru NGINX di Amazon Linux 2, lihat situs web [NGINX](https://nginx.org/en/linux_packages.html).
Versi terbaru NGINX yang tersedia untuk Amazon Linux 2 menggunakan versi OpenSSL yang lebih baru dari versi sistem OpenSSL. Setelah menginstal NGINX, Anda perlu membuat tautan simbolis dari pustaka OpenSSL Dynamic Engine ke lokasi yang diharapkan oleh versi AWS CloudHSM OpenSSL ini
```
$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so
```
+ Apache
```
$ sudo yum install httpd mod_ssl
```
------
#### [ Amazon Linux 2023 ]
+ NGINX
```
$ sudo yum install nginx
```
+ Apache
```
$ sudo yum install httpd mod_ssl
```
------
#### [ Red Hat 8 ]
+ NGINX
```
$ sudo yum install nginx
```
+ Apache
```
$ sudo yum install httpd mod_ssl
```
------
#### [ Red Hat 9 ]
+ NGINX
```
$ sudo yum install nginx
```
+ Apache
```
$ sudo yum install httpd mod_ssl
```
------
#### [ Ubuntu 22.04 ]
+ NGINX
```
$ sudo apt install nginx
```
+ Apache
```
$ sudo apt install apache2
```
------
#### [ Ubuntu 24.04 ]
+ NGINX
```
$ sudo apt install nginx
```
+ Apache
```
$ sudo apt install apache2
```
------
1. [Gunakan CloudHSM CLI untuk membuat pengguna kripto.](understanding-users.md#crypto-user-chsm-cli) Untuk informasi selengkapnya tentang mengelola pengguna HSM, lihat [Mengelola pengguna HSM dengan CloudHSM](manage-hsm-users-chsm-cli.md) CLI.
**Tip**
Lacak nama pengguna dan kata sandi CU. Anda akan membutuhkannya nanti ketika Anda membuat atau mengimpor kunci privat HTTPS dan sertifikat untuk server web Anda.
Setelah Anda menyelesaikan langkah ini, buka [Langkah 2: Hasilkan kunci pribadi dan SSL/TLS sertifikat](#ssl-offload-import-or-generate-private-key-and-certificate).
#### Catatan
+ Untuk menggunakan Security-Enhanced Linux (SELinux) dan server web, Anda harus mengizinkan koneksi TCP keluar pada port 2223, yang merupakan port yang digunakan Client SDK 5 untuk berkomunikasi dengan HSM.
+ Untuk membuat dan mengaktifkan klaster dan memberikan akses instans EC2 ke klaster, selesaikan langkah-langkah dalam [Memulai dengan AWS CloudHSM](getting-started.md). Memulai menawarkan step-by-step instruksi untuk membuat cluster aktif dengan satu HSM dan instans klien Amazon EC2. Anda dapat menggunakan instans klien ini sebagai server web Anda.
+ Untuk menghindari menonaktifkan daya tahan kunci klien, tambahkan lebih dari satu HSM ke klaster Anda. Untuk informasi lebih lanjut, lihat [Menambahkan HSM ke cluster AWS CloudHSM](add-hsm.md).
+ Untuk terhubung ke instans klien Anda, Anda dapat menggunakan SSH atau PuTTY. Untuk informasi selengkapnya, lihat.[Menghubungkan ke Instans Linux Anda Menggunakan SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html) atau [Menyambung ke Instans Linux Anda dari Windows Menggunakan PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) dalam dokumentasi Amazon EC2.
## Langkah 2: Hasilkan kunci pribadi dan SSL/TLS sertifikat
Untuk mengaktifkan HTTPS, aplikasi server web Anda (NGINX atau Apache) memerlukan kunci pribadi dan sertifikat yang sesuai. SSL/TLS Untuk menggunakan server web SSL/TLS offload dengan AWS CloudHSM, Anda harus menyimpan kunci pribadi di HSM di cluster Anda AWS CloudHSM . Pertama-tama Anda akan membuat kunci pribadi dan menggunakan kunci untuk membuat permintaan penandatanganan sertifikat (CSR). Anda kemudian mengekspor *kunci pribadi PEM palsu* dari HSM, yang merupakan file kunci pribadi dalam format PEM yang berisi referensi ke kunci pribadi yang disimpan di HSM (itu bukan kunci pribadi yang sebenarnya). Server web Anda menggunakan file kunci pribadi PEM palsu untuk mengidentifikasi kunci pribadi pada HSM selama SSL/TLS pembongkaran.
### Menghasilkan kunci pribadi dan sertifikat
#### Menghasilkan kunci pribadi
[Bagian ini menunjukkan cara membuat keypair menggunakan CloudHSM CLI.](cloudhsm_cli.md) Setelah Anda memiliki key pair yang dihasilkan di dalam HSM, Anda dapat mengekspornya sebagai file PEM palsu dan menghasilkan sertifikat yang sesuai.
**Instal dan konfigurasikan CloudHSM CLI**
1. [Instal dan Konfigurasikan](cloudhsm_cli-getting-started.md) CloudHSM CLI.
1. Gunakan perintah berikut untuk memulai CloudHSM CLI.
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
1. Jalankan perintah berikut untuk masuk ke HSM. Ganti ** dengan nama pengguna pengguna kripto Anda
```
Command: login --username --role crypto-user
```
**Menghasilkan Kunci Pribadi**
Tergantung pada kasus penggunaan Anda, Anda dapat menghasilkan RSA atau EC key pair. Lakukan salah satu tindakan berikut:
+ Untuk menghasilkan kunci pribadi RSA pada HSM
Gunakan [`key generate-asymmetric-pair rsa`](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)perintah untuk menghasilkan key pair RSA. Contoh ini menghasilkan key pair RSA dengan modulus 2048, eksponen publik 65537, label kunci publik, dan label kunci pribadi dari*tls\$1rsa\$1pub*. *tls\$1rsa\$1private*
```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label tls_rsa_pub \
--private-label tls_rsa_private \
--private-attributes sign=true
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x0000000000280cc8",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "tls_rsa_pub",
"id": "",
"check-value": "0x01fe6e",
"class": "public-key",
"encrypt": true,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 512,
"public-exponent": "0x010001",
"modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
"modulus-size-bits": 2048
}
},
"private_key": {
"key-reference": "0x0000000000280cc7",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "tls_rsa_private",
"id": "",
"check-value": "0x01fe6e",
"class": "private-key",
"encrypt": false,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": true,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 1217,
"public-exponent": "0x010001",
"modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634df6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0acac3160f0ca9725d38318b7",
"modulus-size-bits": 2048
}
}
}
}
```
+ Untuk menghasilkan kunci pribadi EC pada HSM
Gunakan [`key generate-asymmetric-pair ec`](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)perintah untuk menghasilkan EC key pair. Contoh ini menghasilkan key pair EC dengan `prime256v1` kurva (sesuai dengan `NID_X9_62_prime256v1` kurva), label kunci publik*tls\$1ec\$1pub*, dan label kunci pribadi dari*tls\$1ec\$1private*.
```
aws-cloudhsm > key generate-asymmetric-pair ec \
--curve prime256v1 \
--public-label tls_ec_pub \
--private-label tls_ec_private \
--private-attributes sign=true
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x000000000012000b",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "session"
},
"attributes": {
"key-type": "ec",
"label": "tls_ec_pub",
"id": "",
"check-value": "0xd7c1a7",
"class": "public-key",
"encrypt": false,
"decrypt": false,
"token": false,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 57,
"ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
"curve": "secp224r1"
}
},
"private_key": {
"key-reference": "0x000000000012000c",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "session"
},
"attributes": {
"key-type": "ec",
"label": "tls_ec_private",
"id": "",
"check-value": "0xd7c1a7",
"class": "private-key",
"encrypt": false,
"decrypt": false,
"token": false,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": true,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 122,
"ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
"curve": "secp224r1"
}
}
}
}
```
**Ekspor file kunci pribadi PEM palsu**
Setelah Anda memiliki kunci pribadi di HSM, Anda harus mengekspor file kunci pribadi PEM palsu. File ini tidak berisi data kunci yang sebenarnya, tetapi memungkinkan OpenSSL Dynamic Engine untuk mengidentifikasi kunci pribadi pada HSM. Anda kemudian dapat menggunakan kunci pribadi untuk membuat permintaan penandatanganan sertifikat (CSR) dan menandatangani CSR untuk membuat sertifikat.
Gunakan [`key generate-file`](cloudhsm_cli-key-generate-file.md)perintah untuk mengekspor kunci pribadi dalam format PEM palsu dan menyimpannya ke file. Ganti nilai berikut dengan nilai Anda sendiri:
+ **— Label kunci pribadi yang Anda buat pada langkah sebelumnya.
+ **— Nama file tempat kunci PEM palsu Anda akan ditulis.
```
aws-cloudhsm > key generate-file --encoding reference-pem --path --filter attr.label=
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
**Keluar dari CloudHSM CLI**
Jalankan perintah berikut untuk menghentikan CloudHSM CLI.
```
aws-cloudhsm > quit
```
Anda sekarang harus memiliki file baru di sistem Anda, yang terletak di jalur yang ditentukan oleh ** dalam perintah sebelumnya. File ini adalah file kunci pribadi PEM palsu.
#### Menghasilkan sertifikat yang ditandatangani sendiri
Setelah Anda membuat kunci pribadi PEM palsu, Anda dapat menggunakan file ini untuk menghasilkan permintaan penandatanganan sertifikat (CSR) dan sertifikat.
Di lingkungan produksi, Anda biasanya menggunakan sertifikat otoritas (CA) untuk membuat sertifikat dari CSR. CA tidak diperlukan untuk lingkungan pengujian. Jika Anda menggunakan CA, kirim file CSR kepada mereka dan gunakan SSL/TLS sertifikat bertanda tangan yang mereka berikan kepada Anda di server web Anda untuk HTTPS.
Sebagai alternatif untuk menggunakan CA, Anda dapat menggunakan AWS CloudHSM OpenSSL Dynamic Engine untuk membuat sertifikat yang ditandatangani sendiri. Sertifikat yang ditandatangani sendiri tidak dipercaya oleh peramban dan tidak boleh digunakan dalam lingkungan produksi. Sertifikat dapat digunakan dalam lingkungan pengujian.
**Awas**
Sertifikat yang ditandatangani sendiri hanya boleh digunakan dalam lingkungan pengujian. Untuk lingkungan produksi, gunakan metode yang lebih aman seperti otoritas sertifikat untuk membuat sertifikat.
**Instal dan konfigurasikan OpenSSL Dynamic Engine**
1. Hubungkan ke instans klien Anda.
1. [Instal OpenSSL Dynamic Engine AWS CloudHSM untuk Client SDK 5](openssl5-install.md)
**Menghasilkan sertifikat**
1. Dapatkan salinan file PEM palsu Anda yang dihasilkan pada langkah sebelumnya.
1. Buat CSR
Jalankan perintah berikut untuk menggunakan AWS CloudHSM OpenSSL Dynamic Engine untuk membuat permintaan penandatanganan sertifikat (CSR). Ganti ** dengan nama file yang berisi kunci pribadi PEM palsu Anda. Ganti ** dengan nama file yang berisi CSR Anda.
Perintah `req` bersifat interaktif. Tanggapi setiap bidang. Informasi bidang disalin ke SSL/TLS sertifikat Anda.
```
$ openssl req -engine cloudhsm -new -key -out
```
1. Buat sertifikat yang ditandatangani sendiri
Jalankan perintah berikut untuk menggunakan AWS CloudHSM OpenSSL Dynamic Engine untuk menandatangani CSR Anda dengan kunci pribadi Anda di HSM Anda. Ini membuat sertifikat yang ditandatangani sendiri. Ganti nilai berikut dalam perintah dengan nilai Anda sendiri.
+ **— Nama file yang berisi CSR.
+ **— Nama file yang berisi kunci pribadi PEM palsu.
+ **— Nama file yang akan berisi sertifikat server web Anda.
```
$ openssl x509 -engine cloudhsm -req -days 365 -in -signkey -out
```
Setelah Anda menyelesaikan langkah ini, buka [Langkah 3: Konfigurasikan server web](#ssl-offload-configure-web-server).
## Langkah 3: Konfigurasikan server web
Perbarui konfigurasi perangkat lunak server web Anda untuk menggunakan sertifikat HTTPS dan kunci privat PEM palsu yang Anda buat di [langkah sebelumnya](#ssl-offload-import-or-generate-private-key-and-certificate). Ingatlah untuk mencadangkan sertifikat dan kunci yang sudah ada sebelum memulai. Ini akan menyelesaikan pengaturan perangkat lunak server web Linux Anda untuk SSL/TLS dibongkar dengan AWS CloudHSM.
Menyelesaikan langkah-langkah dari salah satu bagian berikut.
**Topics**
+ [Konfigurasikan server web NGINX](#ssl-offload-nginx)
+ [Konfigurasikan server web Apache](#ssl-offload-apache)
### Konfigurasikan server web NGINX
Gunakan bagian ini untuk mengatur konfigurasi NGINX pada platform yang didukung.
**Untuk memperbarui konfigurasi server web untuk NGINX**
1. Hubungkan ke instans klien Anda.
1. Jalankan perintah berikut untuk membuat direktori yang diperlukan untuk sertifikat server web dan kunci privat PEM palsu.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
1. Jalankan perintah berikut untuk menyalin sertifikat server web Anda ke lokasi yang diperlukan. Ganti ** dengan nama sertifikat server web Anda.
```
$ sudo cp /etc/pki/nginx/server.crt
```
1. Jalankan perintah berikut untuk menyalin kunci privat PEM palsu Anda ke lokasi yang diperlukan. Ganti ** dengan nama file yang berisi kunci pribadi PEM palsu Anda.
```
$ sudo cp /etc/pki/nginx/private/server.key
```
1. Jalankan perintah berikut untuk mengubah kepemilikan file sehingga pengguna bernama*nginx* dapat membacanya.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
1. Jalankan perintah berikut untuk mencadangkan file `/etc/nginx/nginx.conf`.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```
1. Perbarui konfigurasi NGINX.
**catatan**
Setiap klaster dapat mendukung maksimum 1000 proses pekerja NGINX di semua server web NGINX.
------
#### [ Amazon Linux 2 ]
Gunakan editor teks untuk mengedit file `/etc/nginx/nginx.conf`. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
Kemudian tambahkan yang berikut ini ke bagian TLS file:
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Amazon Linux 2023 ]
Gunakan editor teks untuk mengedit file `/etc/nginx/nginx.conf`. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
Kemudian tambahkan yang berikut ini ke bagian TLS file:
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Red Hat 8 ]
Gunakan editor teks untuk mengedit file `/etc/nginx/nginx.conf`. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
Kemudian tambahkan yang berikut ini ke bagian TLS file:
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Red Hat 9 ]
Gunakan editor teks untuk mengedit file `/etc/nginx/nginx.conf`. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
Kemudian tambahkan yang berikut ini ke bagian TLS file:
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Ubuntu 22.04 LTS ]
Gunakan editor teks untuk mengedit file `/etc/nginx/nginx.conf`. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
Kemudian tambahkan yang berikut ini ke bagian TLS file:
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Ubuntu 24.04 LTS ]
Gunakan editor teks untuk mengedit file `/etc/nginx/nginx.conf`. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
Kemudian tambahkan yang berikut ini ke bagian TLS file:
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
Simpan file tersebut.
1. Cadangkan file konfigurasi `systemd`, dan kemudian atur jalur `EnvironmentFile`.
------
#### [ Amazon Linux 2 ]
1. pencadangan `nginx.service` file.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. Buka file `/lib/systemd/system/nginx.service` dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Amazon Linux 2023 ]
1. pencadangan `nginx.service` file.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. Buka `/lib/systemd/system/nginx.service` file di editor teks. dan kemudian di bawah bagian [Layanan], tambahkan jalur berikut:
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Red Hat 8 ]
1. pencadangan `nginx.service` file.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. Buka file `/lib/systemd/system/nginx.service` dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Red Hat 9 ]
1. pencadangan `nginx.service` file.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. Buka file `/lib/systemd/system/nginx.service` dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Ubuntu 22.04 LTS ]
1. pencadangan `nginx.service` file.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. Buka file `/lib/systemd/system/nginx.service` dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Ubuntu 24.04 LTS ]
1. pencadangan `nginx.service` file.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. Buka file `/lib/systemd/system/nginx.service` dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
1. Periksa apakah file `/etc/sysconfig/nginx` ada, dan lakukan salah satu hal berikut:
+ Jika file ada, buat cadangan file dengan menjalankan perintah berikut:
```
$ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
```
+ Jika file tidak ada, buka editor teks, dan kemudian membuat file bernama `nginx` dalam folder `/etc/sysconfig/`.
1. Konfigurasikan lingkungan NGINX.
**catatan**
SDK Klien 5 memperkenalkan `CLOUDHSM_PIN` variabel lingkungan untuk menyimpan kredensial CU.
------
#### [ Amazon Linux 2 ]
Buka file `/etc/sysconfig/nginx` di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
Simpan file tersebut.
------
#### [ Amazon Linux 2023 ]
Buka file `/etc/sysconfig/nginx` di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
Simpan file tersebut.
------
#### [ Red Hat 8 ]
Buka file `/etc/sysconfig/nginx` di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
Simpan file tersebut.
------
#### [ Red Hat 9 ]
Buka file `/etc/sysconfig/nginx` di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
Simpan file tersebut.
------
#### [ Ubuntu 22.04 LTS ]
Buka file `/etc/sysconfig/nginx` di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
Simpan file tersebut.
------
#### [ Ubuntu 24.04 LTS ]
Buka file `/etc/sysconfig/nginx` di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
Simpan file tersebut.
------
1. Mulai server web NGINX.
------
#### [ Amazon Linux 2 ]
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang `systemd` konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
------
#### [ Amazon Linux 2023 ]
Hentikan semua proses NGINX
```
$ sudo systemctl stop nginx
```
Muat ulang `systemd` konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai NGINX
```
$ sudo systemctl start nginx
```
------
#### [ Red Hat 8 ]
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang `systemd` konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
------
#### [ Red Hat 9 ]
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang `systemd` konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
------
#### [ Ubuntu 22.04 LTS ]
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang `systemd` konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
------
#### [ Ubuntu 24.04 LTS ]
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang `systemd` konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
------
1. (Opsional) Konfigurasikan platform Anda untuk memulai NGINX saat mulai.
------
#### [ Amazon Linux 2 ]
```
$ sudo systemctl enable nginx
```
------
#### [ Amazon Linux 2023 ]
```
$ sudo systemctl enable nginx
```
------
#### [ Red Hat 8 ]
```
$ sudo systemctl enable nginx
```
------
#### [ Red Hat 9 ]
```
$ sudo systemctl enable nginx
```
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo systemctl enable nginx
```
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo systemctl enable nginx
```
------
Setelah memperbarui konfigurasi server web, buka [Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat](#ssl-offload-enable-traffic-and-verify-certificate).
### Konfigurasikan server web Apache
Gunakan bagian ini untuk mengatur konfigurasi Apache pada platform yang didukung.
**Untuk memperbarui konfigurasi server web untuk Apache**
1. Hubungkan ke instans klien Amazon EC2 Anda.
1. Tentukan lokasi default untuk sertifikat dan kunci privat untuk platform Anda.
------
#### [ Amazon Linux 2 ]
Dalam `/etc/httpd/conf.d/ssl.conf` file, pastikan nilai-nilai ini ada:
```
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
------
#### [ Amazon Linux 2023 ]
Dalam `/etc/httpd/conf.d/ssl.conf` file. pastikan nilai-nilai ini ada:
```
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
------
#### [ Red Hat 8 ]
Dalam `/etc/httpd/conf.d/ssl.conf` file, pastikan nilai-nilai ini ada:
```
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
------
#### [ Red Hat 9 ]
Dalam `/etc/httpd/conf.d/ssl.conf` file, pastikan nilai-nilai ini ada:
```
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
------
#### [ Ubuntu 22.04 LTS ]
Dalam `/etc/apache2/sites-available/default-ssl.conf` file, pastikan nilai-nilai ini ada:
```
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
```
------
#### [ Ubuntu 24.04 LTS ]
Dalam `/etc/apache2/sites-available/default-ssl.conf` file, pastikan nilai-nilai ini ada:
```
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
```
------
1. Salin sertifikat server web Anda ke lokasi yang diperlukan untuk platform Anda.
------
#### [ Amazon Linux 2 ]
```
$ sudo cp /etc/pki/tls/certs/localhost.crt
```
Ganti ** dengan nama sertifikat server web Anda.
------
#### [ Amazon Linux 2023 ]
```
$ sudo cp /etc/pki/tls/certs/localhost.crt
```
Ganti ** dengan nama sertifikat server web Anda.
------
#### [ Red Hat 8 ]
```
$ sudo cp /etc/pki/tls/certs/localhost.crt
```
Ganti ** dengan nama sertifikat server web Anda.
------
#### [ Red Hat 9 ]
```
$ sudo cp /etc/pki/tls/certs/localhost.crt
```
Ganti ** dengan nama sertifikat server web Anda.
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo cp /etc/ssl/certs/localhost.crt
```
Ganti ** dengan nama sertifikat server web Anda.
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo cp /etc/ssl/certs/localhost.crt
```
Ganti ** dengan nama sertifikat server web Anda.
------
1. Salin kunci privat PEM palsu Anda ke lokasi yang diperlukan untuk platform Anda.
------
#### [ Amazon Linux 2 ]
```
$ sudo cp /etc/pki/tls/private/localhost.key
```
Ganti ** dengan nama file yang berisi kunci pribadi PEM palsu Anda.
------
#### [ Amazon Linux 2023 ]
```
$ sudo cp /etc/pki/tls/private/localhost.key
```
Ganti ** dengan nama file yang berisi kunci pribadi PEM palsu Anda.
------
#### [ Red Hat 8 ]
```
$ sudo cp /etc/pki/tls/private/localhost.key
```
Ganti ** dengan nama file yang berisi kunci pribadi PEM palsu Anda.
------
#### [ Red Hat 9 ]
```
$ sudo cp /etc/pki/tls/private/localhost.key
```
Ganti ** dengan nama file yang berisi kunci pribadi PEM palsu Anda.
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo cp /etc/ssl/private/localhost.key
```
Ganti ** dengan nama file yang berisi kunci pribadi PEM palsu Anda.
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo cp /etc/ssl/private/localhost.key
```
Ganti ** dengan nama file yang berisi kunci pribadi PEM palsu Anda.
------
1. Ubah kepemilikan file-file ini jika diperlukan oleh platform Anda.
------
#### [ Amazon Linux 2 ]
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama *apache*.
------
#### [ Amazon Linux 2023 ]
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama *apache*.
------
#### [ Red Hat 8 ]
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama *apache*.
------
#### [ Red Hat 9 ]
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama *apache*.
------
#### [ Ubuntu 22.04 LTS ]
Tidak ada tindakan diperlukan.
------
#### [ Ubuntu 24.04 LTS ]
Tidak ada tindakan diperlukan.
------
1. Atur konfigurasi arahan Apache untuk platform Anda.
------
#### [ Amazon Linux 2 ]
Temukan file SSL untuk platform ini:
```
/etc/httpd/conf.d/ssl.conf
```
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
```
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
```
Simpan file tersebut.
------
#### [ Amazon Linux 2023 ]
Temukan file SSL untuk platform ini:
```
/etc/httpd/conf.d/ssl.conf
```
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
```
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
```
Simpan file tersebut.
------
#### [ Red Hat 8 ]
Temukan file SSL untuk platform ini:
```
/etc/httpd/conf.d/ssl.conf
```
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
```
SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL
```
Simpan file tersebut.
------
#### [ Red Hat 9 ]
Temukan file SSL untuk platform ini:
```
/etc/httpd/conf.d/ssl.conf
```
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
```
SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL
```
Simpan file tersebut.
------
#### [ Ubuntu 22.04 LTS ]
Temukan file SSL untuk platform ini:
```
/etc/apache2/mods-available/ssl.conf
```
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
```
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3
```
Simpan file tersebut.
Mengaktifkan modul SSL dan konfigurasi situs SSL default:
```
$ sudo a2enmod ssl
$ sudo a2ensite default-ssl
```
------
#### [ Ubuntu 24.04 LTS ]
Temukan file SSL untuk platform ini:
```
/etc/apache2/mods-available/ssl.conf
```
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
```
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3
```
Simpan file tersebut.
Mengaktifkan modul SSL dan konfigurasi situs SSL default:
```
$ sudo a2enmod ssl
$ sudo a2ensite default-ssl
```
------
1. Atur konfigurasi file nilai lingkungan untuk platform Anda.
------
#### [ Amazon Linux 2 ]
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian `[Service]`, tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
------
#### [ Amazon Linux 2023 ]
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian `[Service]`, tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
------
#### [ Red Hat 8 ]
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian `[Service]`, tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
------
#### [ Red Hat 9 ]
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian `[Service]`, tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
------
#### [ Ubuntu 22.04 LTS ]
Tidak ada tindakan diperlukan. Nilai lingkungan masuk `/etc/sysconfig/httpd`
------
#### [ Ubuntu 24.04 LTS ]
Tidak ada tindakan diperlukan. Nilai lingkungan masuk `/etc/sysconfig/httpd`
------
1. Dalam file yang menyimpan variabel lingkungan untuk platform Anda, tetapkan variabel lingkungan yang berisi kredensial pengguna kriptografi (CU):
------
#### [ Amazon Linux 2 ]
Gunakan editor teks untuk mengedit `/etc/sysconfig/httpd`.
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
------
#### [ Amazon Linux 2023 ]
Gunakan editor teks untuk mengedit `/etc/sysconfig/httpd`.
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
------
#### [ Red Hat 8 ]
Gunakan editor teks untuk mengedit `/etc/sysconfig/httpd`.
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
**catatan**
SDK Klien 5 memperkenalkan `CLOUDHSM_PIN` variabel lingkungan untuk menyimpan kredensial CU.
------
#### [ Red Hat 9 ]
Gunakan editor teks untuk mengedit `/etc/sysconfig/httpd`.
```
CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
**catatan**
SDK Klien 5 memperkenalkan `CLOUDHSM_PIN` variabel lingkungan untuk menyimpan kredensial CU.
------
#### [ Ubuntu 22.04 LTS ]
Gunakan editor teks untuk mengedit `/etc/apache2/envvars`.
```
export CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
**catatan**
SDK Klien 5 memperkenalkan `CLOUDHSM_PIN` variabel lingkungan untuk menyimpan kredensial CU. Dalam Klien SDK 3, Anda menyimpan kredensial CU di variabel lingkungan `n3fips_password`. Klien SDK 5 mendukung kedua variabel lingkungan, namun sebaiknya gunakan`CLOUDHSM_PIN`.
------
#### [ Ubuntu 24.04 LTS ]
Gunakan editor teks untuk mengedit `/etc/apache2/envvars`.
```
export CLOUDHSM_PIN=:
```
Ganti ** dan ** dengan kredensyal CU.
**catatan**
SDK Klien 5 memperkenalkan `CLOUDHSM_PIN` variabel lingkungan untuk menyimpan kredensial CU. Dalam Klien SDK 3, Anda menyimpan kredensial CU di variabel lingkungan `n3fips_password`. Klien SDK 5 mendukung kedua variabel lingkungan, namun sebaiknya gunakan`CLOUDHSM_PIN`.
------
1. Mulai server web Apache.
------
#### [ Amazon Linux 2 ]
```
$ sudo systemctl daemon-reload
$ sudo service httpd start
```
------
#### [ Amazon Linux 2023 ]
```
$ sudo systemctl daemon-reload
$ sudo service httpd start
```
------
#### [ Red Hat 8 ]
```
$ sudo systemctl daemon-reload
$ sudo service httpd start
```
------
#### [ Red Hat 9 ]
```
$ sudo systemctl daemon-reload
$ sudo service httpd start
```
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo service apache2 start
```
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo service apache2 start
```
------
1. (Opsional) Atur konfigurasi platform Anda untuk memulai Apache saat mulai.
------
#### [ Amazon Linux 2 ]
```
$ sudo chkconfig httpd on
```
------
#### [ Amazon Linux 2023 ]
```
$ sudo chkconfig httpd on
```
------
#### [ Red Hat 8 ]
```
$ systemctl enable httpd
```
------
#### [ Red Hat 9 ]
```
$ systemctl enable httpd
```
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo systemctl enable apache2
```
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo systemctl enable apache2
```
------
Setelah memperbarui konfigurasi server web, buka [Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat](#ssl-offload-enable-traffic-and-verify-certificate).
## Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat
Setelah Anda mengonfigurasi server web untuk SSL/TLS dibongkar AWS CloudHSM, tambahkan instance server web Anda ke grup keamanan yang memungkinkan lalu lintas HTTPS masuk. Hal ini memungkinkan klien, seperti peramban web, untuk membuat koneksi HTTPS dengan server web Anda. Kemudian buat koneksi HTTPS ke server web Anda dan verifikasi bahwa itu menggunakan sertifikat yang Anda konfigurasikan untuk SSL/TLS dibongkar. AWS CloudHSM
**Topics**
+ [Aktifkan koneksi HTTPS masuk](#ssl-offload-add-security-group-linux)
+ [Verifikasi bahwa HTTPS menggunakan sertifikat yang Anda konfigurasikan](#ssl-offload-verify-https-connection-linux-enable)
### Aktifkan koneksi HTTPS masuk
Untuk menyambungkan ke server web Anda dari klien (seperti peramban web), buat grup keamanan yang mengizinkan koneksi HTTPS masuk. Secara khusus, ini harus mengizinkan koneksi TCP masuk pada port 443. Tetapkan grup keamanan ini ke server web Anda.
**Untuk membuat grup keamanan untuk HTTPS dan menetapkannya ke server web Anda**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Pilih **Grup keamanan** di panel navigasi.
1. Pilih **Buat grup keamanan**.
1. Untuk **Buat Grup Keamanan**, lakukan hal berikut:
1. Untuk **Nama grup keamanan**, ketik nama untuk grup keamanan yang Anda buat.
1. (Opsional) Ketik deskripsi grup keamanan yang Anda buat.
1. Untuk **VPC**, pilih VPC yang berisi instans Amazon EC2 server web Anda.
1. Pilih **Tambahkan Aturan**.
1. Untuk **Type**, pilih **HTTPS** dari jendela drop-down.
1. Untuk **Sumber**, masukkan lokasi sumber.
1. Pilih **Buat grup keamanan**.
1. Di panel navigasi, pilih **Instans**.
1. Pilih kotak centang di samping instans server web Anda.
1. Pilih menu tarik-turun **Tindakan** di bagian atas halaman. Pilih **Keamanan** dan kemudian **Ubah Grup Keamanan**.
1. Untuk **grup keamanan terkait**, pilih kotak pencarian dan pilih grup keamanan yang Anda buat untuk HTTPS. Kemudian pilih **Tambahkan Grup Keamanan**.
1. Pilih **Simpan**.
### Verifikasi bahwa HTTPS menggunakan sertifikat yang Anda konfigurasikan
Setelah menambahkan server web ke grup keamanan, Anda dapat memverifikasi bahwa SSL/TLS offload menggunakan sertifikat yang ditandatangani sendiri. Anda dapat melakukan ini dengan peramban web atau dengan alat seperti [OpenSSL s\$1client](https://www.openssl.org/docs/manmaster/man1/s_client.html).
**Untuk memverifikasi SSL/TLS pembongkaran dengan browser web**
1. Gunakan browser web untuk terhubung ke server web Anda menggunakan nama DNS publik atau alamat IP server. Pastikan URL di bilah alamat dimulai dengan https://. Misalnya, **https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/**.
**Tip**
Anda dapat menggunakan layanan DNS seperti Amazon Route 53 untuk merutekan nama domain situs web Anda (misalnya, https://www.example.com/) ke server web Anda. Untuk informasi selengkapnya, lihat [Perutean Lalu Lintas ke Instans Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)dalam *Panduan Developer Amazon Route 53 * atau dalam dokumentasi untuk layanan DNS Anda.
1. Gunakan peramban web Anda untuk melihat sertifikat server web. Untuk informasi lebih lanjut, lihat hal berikut:
+ Para Mozilla Firefox, lihat [Lihat Sertifikat](https://support.mozilla.org/en-US/kb/secure-website-certificate#w_view-a-certificate) di situs web Dukung Mozilla.
+ Untuk Google Chrome, lihat [Memahami Masalah Keamanan](https://developers.google.com/web/tools/chrome-devtools/security) pada Alat Google Tools untuk Pengembang Web.
Peramban web lain mungkin memiliki fitur serupa yang dapat Anda gunakan untuk melihat sertifikat server web.
1. Pastikan bahwa SSL/TLS sertifikat adalah salah satu yang Anda konfigurasi server web Anda untuk digunakan.
**Untuk memverifikasi SSL/TLS offload dengan OpenSSL s\$1client**
1. Jalankan perintah OpenSSL berikut untuk terhubung ke server web Anda menggunakan HTTPS. Ganti ** dengan nama DNS publik atau alamat IP server web Anda.
```
openssl s_client -connect :443
```
**Tip**
Anda dapat menggunakan layanan DNS seperti Amazon Route 53 untuk merutekan nama domain situs web Anda (misalnya, https://www.example.com/) ke server web Anda. Untuk informasi selengkapnya, lihat [Perutean Lalu Lintas ke Instans Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)dalam *Panduan Developer Amazon Route 53 * atau dalam dokumentasi untuk layanan DNS Anda.
1. Pastikan bahwa SSL/TLS sertifikat adalah salah satu yang Anda konfigurasi server web Anda untuk digunakan.
Anda sekarang memiliki situs web yang diamankan dengan HTTPS. Kunci pribadi untuk server web disimpan dalam HSM di AWS CloudHSM cluster Anda.
Untuk menambahkan penyeimbang beban, lihat[Tambahkan penyeimbang beban dengan Elastic Load Balancing AWS CloudHSM untuk (opsional)](third-offload-add-lb.md).