OpenSSL가 있는 NGINX 또는 Apache를 사용하여 Linux에서 AWS CloudHSM SSL/TLS 오프로드

이 주제는 Linux 웹 서버에서 AWS CloudHSM을 사용하여 SSL/TLS 오프로드를 설정하기 위한 단계별 지침을 제공합니다.

주제

개요
1단계: 사전 조건 설정
단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기
3단계: 웹 서버 구성하기
4단계: HTTPS 트래픽 활성화 및 인증서 확인하기

개요

Linux에서는 HTTPS를 지원하기 위해 NGINX 및 Apache HTTP Server 웹 서버 소프트웨어가 OpenSSL에 통합되어 있습니다. OpenSSL용 AWS CloudHSM Dynamic Engine은 웹 서버 소프트웨어가 암호화 오프로딩 및 키 스토리지를 위해 클러스터에서 HSM을 사용할 수 있도록 인터페이스를 제공합니다. OpenSSL 엔진은 웹 서버를 AWS CloudHSM 클러스터에 연결하는 브리지입니다.

이 자습서를 완료하려면 Linux에서 NGINX 웹 서버 소프트웨어를 사용할지, Apache 웹 서버 소프트웨어를 사용할지 먼저 선택해야 합니다. 그런 다음 이 자습서에서는 다음을 수행하는 방법을 보여줍니다.

Amazon EC2 인스턴스에 웹 서버 소프트웨어를 설치합니다.
AWS CloudHSM 클러스터에 프라이빗 키가 저장되는 HTTPS를 지원하도록 웹 서버 소프트웨어를 구성합니다.
(선택 사항) Amazon EC2를 사용하여 두 번째 웹 서버 인스턴스를 만들고 Elastic Load Balancing을 사용하여 로드 밸런서를 만듭니다. 로드 밸런서를 사용하면 여러 서버에 부하를 분산하여 성능을 향상할 수 있습니다. 또한 하나 이상의 서버에 장애가 발생할 경우 중복성과 더 높은 가용성을 제공할 수 있습니다.

시작할 준비가 되면 1단계: 사전 조건 설정로 이동합니다.

1단계: 사전 조건 설정

플랫폼마다 필요한 필수 조건이 다릅니다. 플랫폼에 맞는 아래의 사전 조건 섹션을 사용하세요.

클라이언트 SDK 사전 조건 5

클라이언트 SDK 5으로 웹 서버 SSL/TLS 오프로드를 설정하려면 다음이 필요합니다.

두 개 이상의 하드웨어 보안 모듈(HSM)이 있는 활성 AWS CloudHSM 클러스터

참고
단일 HSM 클러스터를 사용할 수 있지만 먼저 클라이언트 키 내구성을 비활성화해야 합니다. 자세한 내용은 클라이언트 키 내구성 설정 관리 및 클라이언트 SDK 5 구성 도구를 참조하세요.
다음 소프트웨어가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스.
- 웹 서버(NGINX 또는 아파치)
- 클라이언트 SDK 5용 OpenSSL Dynamic Engine
HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 CU(Crypto User)입니다.

HSM에서 Linux 웹 서버 인스턴스를 설정하고 CU를 생성하려면

AWS CloudHSM의 OpenSSL Dynamic Engine을 설치 및 구성합니다. OpenSSL 동적 엔진 설치에 대한 자세한 내용은 클라이언트용 OpenSSL 동적 엔진 SDK 5를 참조하세요.
클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 NGINX 또는 Apache 웹 서버를 설치하세요.
Amazon Linux
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd24 mod24_ssl
Amazon Linux 2
Amazon Linux 2에서 최신 버전의 NGINX를 다운로드하는 방법에 대한 자세한 내용은 NGINX 웹 사이트를 참조하세요.

Amazon Linux 2에서 사용할 수 있는 NGINX의 최신 버전은 OpenSSL의 시스템 버전보다 최신 버전의 OpenSSL을 사용합니다. NGINX를 설치한 후에는 OpenSSL Dynamic Engine 라이브러리에서 이 버전의 AWS CloudHSM OpenSSL이 예상하는 위치로 연결되는 심볼릭 링크를 생성해야 합니다.

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
CentOS 7
CentOS 7에서 최신 버전의 NGINX를 다운로드하는 방법에 대한 자세한 내용은 NGINX 웹 사이트를 참조하세요.

CentOS 7에서 사용할 수 있는 NGINX의 최신 버전은 OpenSSL의 시스템 버전보다 최신 버전의 OpenSSL을 사용합니다. NGINX를 설치한 후에는 OpenSSL Dynamic Engine 라이브러리에서 이 버전의 AWS CloudHSM OpenSSL이 예상하는 위치로 연결되는 심볼릭 링크를 생성해야 합니다.

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
Red Hat 7
Red Hat 7에서 최신 버전의 NGINX를 다운로드하는 방법에 대한 자세한 내용은 NGINX 웹 사이트를 참조하세요.

Red Hat 7에서 사용할 수 있는 NGINX의 최신 버전은 OpenSSL의 시스템 버전보다 최신 버전의 OpenSSL을 사용합니다. NGINX를 설치한 후에는 OpenSSL Dynamic Engine 라이브러리에서 이 버전의 AWS CloudHSM OpenSSL이 예상하는 위치로 연결되는 심볼릭 링크를 생성해야 합니다.

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
CentOS 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Red Hat 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Ubuntu 18.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 20.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 22.04

OpenSSL Dynamic Engine에 대한 지원은 아직 제공되지 않습니다.
CloudHSM CLI를 사용하여 CU를 생성합니다. HSM 사용자 관리에 대한 자세한 내용은 CloudHSM CLI를 사용한 HSM 사용자 관리를 참조하십시오.

작은 정보
CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.

이 단계들을 완료한 후 단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기로 이동합니다.

참고

보안이 강화된 리눅스(SELinux) 및 웹 서버를 사용하려면 클라이언트 SDK 5가 HSM과 통신하는 데 사용하는 포트인 포트 2223에서 아웃바운드 TCP 연결을 허용해야 합니다.
클러스터를 생성 및 활성화하고 EC2 인스턴스에 클러스터 액세스 권한을 부여하려면 AWS CloudHSM 시작하기의 단계를 완료하십시오. 시작하기에서는 HSM 1개와 Amazon EC2 클라이언트 인스턴스 1개로 활성 클러스터를 생성하는 방법에 대한 단계별 지침을 제공합니다. 이 클라이언트 인스턴스를 웹 서버로 사용할 수 있습니다.
클라이언트 키 내구성을 비활성화하지 않으려면 클러스터에 HSM을 두 개 이상 추가하십시오. 자세한 내용은 AWS CloudHSM 클러스터에 HSM 추가 섹션을 참조하세요.
SSH 또는 PuTTY를 사용하여 클라이언트 인스턴스에 연결할 수 있습니다. 자세한 정보는 Amazon EC2 설명서의 SSH를 사용하여 Linux 인스턴스에 연결과 PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결 단원을 참조하세요.

Client SDK 3의 필요 조건

클라이언트 SDK 3으로 웹 서버 SSL/TLS 오프로드를 설정하려면 다음이 필요합니다.

HSM이 하나 이상 있는 활성 AWS CloudHSM 클러스터
다음 소프트웨어가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스.
- AWS CloudHSM 클라이언트 및 명령줄 도구
- NGINX 또는 Apache 웹 서버 애플리케이션.
- OpenSSL용 AWS CloudHSM Dynamic Engine
HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 CU(Crypto User)입니다.

HSM에서 Linux 웹 서버 인스턴스를 설정하고 CU를 생성하려면

시작하기의 단계를 수행하세요. 그러면 하나의 HSM과 Amazon EC2 클라이언트 인스턴스가 있는 활성 클러스터가 생깁니다. EC2 인스턴스는 명령줄 도구를 사용하여 구성됩니다. 이 클라이언트 인스턴스를 웹 서버로 사용합니다.
클라이언트 인스턴스에 연결합니다. 자세한 정보는 Amazon EC2 설명서의 SSH를 사용하여 Linux 인스턴스에 연결과 PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결 단원을 참조하세요.
클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 NGINX 또는 Apache 웹 서버를 설치하세요.
Amazon Linux
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd24 mod24_ssl
Amazon Linux 2
NGINX 버전 1.19는 Amazon Linux 2의 클라이언트 SDK 3 엔진과 호환되는 NGINX의 최신 버전입니다.

자세한 내용을 확인하고 NGINX 버전 1.19를 다운로드하려면 NGINX 웹 사이트를 참조하세요.

Apache

$ sudo yum install httpd mod_ssl
CentOS 7
NGINX 버전 1.19는 CentOS 7의 클라이언트 SDK 3 엔진과 호환되는 NGINX의 최신 버전입니다.

자세한 내용을 확인하고 NGINX 버전 1.19를 다운로드하려면 NGINX 웹 사이트를 참조하세요.

Apache

$ sudo yum install httpd mod_ssl
Red Hat 7
NGINX 버전 1.19는 Red Hat 7의 클라이언트 SDK 3 엔진과 호환되는 NGINX의 최신 버전입니다.

자세한 내용을 확인하고 NGINX 버전 1.19를 다운로드하려면 NGINX 웹 사이트를 참조하세요.

Apache

$ sudo yum install httpd mod_ssl
Ubuntu 16.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 18.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
(선택 사항) 클러스터에 HSM을 더 추가합니다. 자세한 내용은 AWS CloudHSM 클러스터에 HSM 추가 섹션을 참조하세요.
cloudhsm_mgmt_util을 사용하여 CU를 생성합니다. 자세한 내용은 HSM 사용자 섹션을 참조하세요. CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.

이 단계들을 완료한 후 단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기로 이동합니다.

단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기

HTTPS를 활성화하려면 웹 서버 애플리케이션(NGINX 또는 Apache)에 프라이빗 키와 해당 SSL/TLS 인증서가 필요합니다. AWS CloudHSM에 웹 서버 SSL/TLS 오프로드를 사용하려면 AWS CloudHSM 클러스터의 HSM에 프라이빗 키를 저장해야 합니다. 이 작업은 다음 중 한 가지 방법으로 수행할 수 있습니다.

아직 프라이빗 키와 해당 인증서가 없다면 HSM에서 프라이빗 키를 생성하세요. 프라이빗 키를 사용하여 SSL/TLS 인증서를 생성하는 데 사용하는 인증서 사인 요청(CSR)을 생성합니다.
프라이빗 키와 해당 인증서가 이미 있는 경우 프라이빗 키를 HSM으로 가져옵니다.

이전 방법 중 어떤 방법을 선택하든 관계없이 HSM에서 가짜 PEM 프라이빗 키를 내보냅니다. 즉 HSM에 저장된 프라이빗 키에 대한 참조를 포함하는 PEM 형식의 프라이빗 키 파일입니다(실제 프라이빗 키가 아님). 웹 서버는 SSL/TLS 오프로드 중에 가짜 PEM 프라이빗 키 파일을 사용하여 HSM의 프라이빗 키를 식별합니다.

다음 중 하나를 수행합니다.

프라이빗 키 및 인증서 생성
기존 프라이빗 키 및 인증서 가져오기

프라이빗 키 및 인증서 생성

프라이빗 키 생성

이 섹션에서는 Client SDK 3의 키 관리 유틸리티(KMU)를 사용하여 키 페어를 생성하는 방법을 보여줍니다. HSM 내부에 키 페어가 생성되면 이를 가짜 PEM 파일로 내보내고 해당 인증서를 생성할 수 있습니다.

키 관리 유틸리티(KMU)로 생성된 프라이빗 키는 Client SDK 3 및 Client SDK 5 모두에서 사용할 수 있습니다.

키 관리 유틸리티(KMU) 설치 및 구성

클라이언트 인스턴스에 연결합니다.
Client SDK 3 설치 및 구성.

다음 명령을 실행하여 AWS CloudHSM 클라이언트를 시작합니다.

다음 명령을 실행하여 key_mgmt_util 명령줄 도구를 시작합니다.
```
$ /opt/cloudhsm/bin/key_mgmt_util
```
다음 명령을 실행하여 HSM에 로그인합니다. <user name> 및 <password>를 CU(Cryptographic User)의 사용자 이름과 암호로 바꿉니다.
```
Command: loginHSM -u CU -s <user name> -p <password>>
```

프라이빗 키 생성

사용 사례에 따라 RSA 또는 EC 키 페어를 생성할 수 있습니다. 다음 중 하나를 수행하십시오.

HSM에서 RSA 프라이빗 키를 생성하려면

genRSAKeyPair 명령을 사용하여 RSA 키 페어를 생성합니다. 이 예제에서는 모듈러스가 2048이고 퍼블릭 지수가 65537이고 레이블이 tls_rsa_keypair인 RSA 키 페어를 생성합니다.
```
Command: genRSAKeyPair -m 2048 -e 65537 -l tls_rsa_keypair
```
명령이 성공하면 RSA 키 페어가 성공적으로 생성되었음을 나타내는 다음 출력이 표시됩니다.
```
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS

                Cfm3GenerateKeyPair:    public key handle: 7    private key handle: 8

                Cluster Status:
                Node id 1 status: 0x00000000 : HSM Return: SUCCESS
```
HSM에서 EC 프라이빗 키를 생성하려면

genECCKeyPair 명령을 사용하여 EC 키 쌍을 생성합니다. 이 예제에서는 곡선 ID가 2(NID_X9_62_prime256v1 곡선에 해당)이고 레이블이 tls_ec_keypair인 EC 키 페어를 생성합니다.
```
Command: genECCKeyPair -i 2 -l tls_ec_keypair
```
명령이 성공하면 EC 키 페어가 성공적으로 생성되었음을 나타내는 다음 출력이 표시됩니다.
```
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS    

                Cfm3GenerateKeyPair:    public key handle: 7    private key handle: 8

                Cluster Status:
                Node id 1 status: 0x00000000 : HSM Return: SUCCESS
```

가짜 PEM 프라이빗 키 파일 내보내기

HSM에 프라이빗 키가 있으면 가짜 PEM 프라이빗 키 파일을 내보내야 합니다. 이 파일에은 실제 키 데이터가 포함하지 않지만 OpenSSL 동적 엔진이 HSM의 프라이빗 키를 식별할 수 있도록 해줍니다. 그런 다음 프라이빗 키를 사용하여 CSR(인증서 서명 요청)을 생성하고 CSR에 서명하여 인증서를 생성할 수 있습니다.

참고

키 관리 유틸리티(KMU)로 생성된 가짜 PEM 파일은 Client SDK 3 및 Client SDK 5 모두에서 사용할 수 있습니다.

가짜 PEM으로 내보내려는 키에 해당하는 키 핸들을 식별한 후 다음 명령을 실행하여 프라이빗 키를 가짜 PEM 형식으로 내보내고 파일에 저장합니다. 다음 값을 사용자의 값으로 대체합니다.

<private_key_handle> – 생성된 프라이빗 키 처리 이 핸들은 이전 단계의 키 생성 명령 중 하나에 의해 생성되었습니다. 이전 예제에서 프라이빗 키의 핸들은 8입니다.
<web_server_fake_PEM.key> – 가짜 PEM 키가 기록될 파일의 이름입니다.


Command: getCaviumPrivKey -k <private_key_handle> -out <web_server_fake_PEM.key>

Exit

다음 명령을 실행하여 key_mgmt_util을 중지합니다.


Command: exit

이제 이전 명령에서 <web_server_fake_PEM.key>로 지정된 경로에 시스템에 새 파일이 있어야 합니다. 이 파일은 가짜 PEM 프라이빗 키 파일입니다.

자체 사인된 인증서를 생성합니다.

가짜 PEM 프라이빗 키를 생성한 후에는 이 파일을 사용하여 인증서 사인 요청(CSR) 및 인증서를 생성할 수 있습니다.

프로덕션 환경에서는 일반적으로 CA(인증 기관)을 사용하여 CSR에서 인증서를 생성합니다. 테스트 환경에는 CA가 필요하지 않습니다. CA를 사용하는 경우 CA에 CSR 파일을 보내고 CA가 웹 서버에서 HTTPS용으로 제공하는 서명된 SSL/TLS 인증서를 사용하세요.

CA를 사용하는 대신 AWS CloudHSM OpenSSL Dynamic Engine을 사용하여 자체 서명된 인증서를 생성할 수 있습니다. 자체 사인된 인증서는 브라우저에서 신뢰하지 않으며 프로덕션 환경에서 사용해서는 안 됩니다. 테스트 환경에서는 이러한 인증서를 사용할 수 있습니다.

주의

자체 사인된 인증서는 테스트 환경에서만 사용해야 합니다. 프로덕션 환경의 경우 인증 기관과 같은 추가 보안 방법을 사용하여 인증서를 생성하십시오.

OpenSSL Dynamic Engine 설치 및 구성

클라이언트 인스턴스에 연결합니다.
설치 및 구성하려면 다음 중 하나를 수행하십시오.
- AWS CloudHSM 클라이언트 SDK 5용 OpenSSL Dynamic Engine 설치
- AWS CloudHSM 클라이언트 SDK 3용 OpenSSL Dynamic Engine

인증서 생성

이전 단계에서 생성한 가짜 PEM 파일의 사본을 확보하세요.
CSR 생성

다음 명령을 실행하여 AWS CloudHSM OpenSSL Dynamic Engine을 사용하여 인증서 서명 요청(CSR)을 생성합니다. <web_server_fake_PEM.key>를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다. <web_server.csr>을 CSR이 포함된 파일의 이름으로 바꿉니다.

req 명령은 대화식입니다. 각 필드에 응답합니다. 필드 정보가 SSL/TLS 인증서에 복사됩니다.
```
$ openssl req -engine cloudhsm -new -key <web_server_fake_PEM.key> -out <web_server.csr>
```
자체 서명된 인증서 생성

다음 명령을 실행하여 AWS CloudHSM OpenSSL Dynamic Engine을 사용하여 HSM의 프라이빗 키로 CSR에 서명합니다. 이렇게 하면 자체 사인된 인증서가 생성됩니다. 명령의 다음 값을 사용자의 값으로 바꿉니다.
- <web_server.csr> – CSR이 포함된 파일 이름
- <web_server_fake_PEM.key> – 가짜 PEM 프라이빗 키가 포함된 파일 이름
- <web_server.crt> – 웹 서버 인증서가 포함될 파일 이름
```
$ openssl x509 -engine cloudhsm -req -days 365 -in <web_server.csr> -signkey <web_server_fake_PEM.key> -out <web_server.crt>
```

이 단계들을 완료한 후 3단계: 웹 서버 구성하기로 이동합니다.

기존 프라이빗 키 및 인증서 가져오기

웹 서버에서 HTTPS에 사용할 프라이빗 키와 해당 SSL/TLS 인증서가 이미 있을 수도 있습니다. 그런 경우, 이 섹션의 단계에 따라 해당 키를 HSM으로 가져올 수 있습니다.

참고

프라이빗 키 가져오기 및 Client SDK 호환성에 대한 몇 가지 참고 사항:

기존 프라이빗 키를 가져오려면 Client SDK 3이 필요합니다.
Client SDK 5와 함께 Client SDK 3의 프라이빗 키를 사용할 수 있습니다.
Client SDK 3용 OpenSSL 동적 엔진은 최신 Linux 플랫폼을 지원하지 않지만 Client SDK 5용 OpenSSL 동적 엔진 구현은 지원합니다. Client SDK 3과 함께 제공되는 KMU(키 관리 유틸리티)를 사용하여 기존 프라이빗 키를 가져온 다음 해당 프라이빗 키를 사용하고 Client SDK 5로 OpenSSL Dynamic Engine을 구현하여 최신 Linux 플랫폼에서 SSL/TLS 오프로드를 지원할 수 있습니다.

Client SDK 3을 사용하여 기존 프라이빗 키를 HSM으로 가져오려면

Amazon EC2 클라이언트 인스턴스에 연결합니다. 필요한 경우, 기존 프라이빗 키와 인증서를 인스턴스로 복사합니다.
Client SDK 3 설치 및 구성

다음 명령을 실행하여 AWS CloudHSM 클라이언트를 시작합니다.

다음 명령을 실행하여 key_mgmt_util 명령줄 도구를 시작합니다.
```
$ /opt/cloudhsm/bin/key_mgmt_util
```
다음 명령을 실행하여 HSM에 로그인합니다. <user name> 및 <password>를 CU(Cryptographic User)의 사용자 이름과 암호로 바꿉니다.
```
Command: loginHSM -u CU -s <user name> -p <password>
```

다음 명령을 실행하여 프라이빗 키를 HSM으로 가져옵니다.

다음 명령을 실행하여 현재 세션에만 유효한 대칭 래핑 키를 생성합니다. 명령과 출력은 다음과 같습니다.


Command: genSymKey -t 31 -s 16 -sess -l wrapping_key_for_import

Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created.  Key Handle: 6
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

다음 명령을 실행하여 기존 프라이빗 키를 HSM으로 가져옵니다. 명령과 출력은 다음과 같습니다. 다음 값을 사용자의 값으로 대체합니다.
- <web_server_existing.key> – 프라이빗 키가 포함된 파일 이름
- <web_server_imported_key> – 가져온 프라이빗 키의 레이블
- <wrapping_key_handle> – 이전 명령에서 생성된 래핑 키 처리 이전 예제에서 래핑 키 핸들은 6입니다.
```
Command: importPrivateKey -f <web_server_existing.key> -l <web_server_imported_key> -w <wrapping_key_handle>

BER encoded key length is 1219
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Private Key Unwrapped.  Key Handle: 8
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
```

다음 명령을 실행하여 가짜 PEM 형식의 프라이빗 키를 내보내고 파일에 저장합니다. 다음 값을 사용자의 값으로 대체합니다.
- <private_key_handle> – 가져온 프라이빗 키의 처리. 이 핸들은 이전 단계에서 두 번째 명령으로 생성되었습니다. 이전 예제에서 프라이빗 키의 핸들은 8입니다.
- <web_server_fake_PEM.key> – 내보낸 가짜 PEM 프라이빗 키가 포함된 파일의 이름.
```
Command: getCaviumPrivKey -k <private_key_handle> -out <web_server_fake_PEM.key>
```
다음 명령을 실행하여 key_mgmt_util을 중지합니다.
```
Command: exit
```

이 단계들을 완료한 후 3단계: 웹 서버 구성하기로 이동합니다.

3단계: 웹 서버 구성하기

이전 단계에서 생성한 HTTPS 인증서와 이에 해당되는 가짜 PEM 프라이빗 키를 사용하려면 웹 서버 소프트웨어의 구성을 업데이트하십시오. 시작하기 전에 기존 인증서와 키를 백업해야 한다는 점을 잊지 마십시오. 그러면 AWS CloudHSM이 지원되는 SSL/TLS 오프로드의 Linux 웹 서버 소프트웨어 설정이 완료됩니다.

다음 섹션 중 하나에 있는 단계를 완료합니다.

주제

NGINX 웹 서버를 구성합니다
Apache 웹 서버 구성하기

NGINX 웹 서버를 구성합니다

이 섹션을 사용하여 지원되는 플랫폼에서 NGINX를 구성합니다.

NGINX용 웹 서버 구성을 업데이트하려면

클라이언트 인스턴스에 연결합니다.
다음 명령을 실행하여 웹 서버 인증서 및 가짜 PEM 프라이빗 키에 필요한 디렉터리를 생성합니다.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
다음 명령을 실행하여 웹 서버 인증서를 필요한 위치에 복사합니다. <web_server.crt>를 웹 서버 인증서 이름으로 바꿉니다.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
다음 명령을 실행하여 가짜 PEM 프라이빗 키를 필요한 위치에 복사합니다. <web_server_fake_PEM.key>를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다.
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/nginx/private/server.key
```
다음 명령을 실행하여 nginx라는 이름의 사용자가 파일을 읽을 수 있도록 파일 소유권을 변경합니다.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
다음 명령을 실행하여 /etc/nginx/nginx.conf 파일을 백업합니다.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

NGINX 구성을 업데이트합니다.