Visão geral 1: Prepare-se 2: gerar chave 3: configurar um servidor 4: Verificar

AWS CloudHSM Descarregamento de SSL/TLS no Linux usando NGINX ou Apache com OpenSSL

Este tópico fornece step-by-step instruções para configurar o descarregamento de SSL/TLS AWS CloudHSM em um servidor web Linux.

Tópicos

Visão geral
Etapa 1: configurar os pré-requisitos
Etapa 2: Gerar ou importar uma chave privada e um certificado SSL/TLS
Etapa 3: configure o servidor Web
Etapa 4: permitir tráfego HTTPS e verificar o certificado

Visão geral

No Linux, o software de servidor Web NGINX e o Apache HTTP Server são integrados ao OpenSSL para comportar HTTPS. O mecanismo AWS CloudHSM dinâmico do OpenSSL fornece uma interface que permite que o software do servidor web use HSMs o em seu cluster para descarga criptográfica e armazenamento de chaves. O mecanismo OpenSSL é a ponte que conecta o servidor Web ao seu cluster do AWS CloudHSM .

Para concluir este tutorial, você deve primeiro escolher se deseja usar o software de servidor web NGINX ou Apache no Linux. Em seguida, este tutorial mostra como fazer o seguinte:

Instale o software do servidor web em uma EC2 instância da Amazon.
Configure o software do servidor Web para oferecer suporte a HTTPS com uma chave privada armazenada em seu AWS CloudHSM cluster.
(Opcional) Use EC2 a Amazon para criar uma segunda instância de servidor web e o Elastic Load Balancing para criar um balanceador de carga. Usar um load balanceador de carga pode aumentar o desempenho, distribuindo a carga em vários servidores. Ele também pode fornecer redundância e maior disponibilidade se um ou mais servidores falhar.

Quando estiver pronto para começar, vá para Etapa 1: configurar os pré-requisitos.

Etapa 1: configurar os pré-requisitos

Plataformas diferentes exigem pré-requisitos diferentes. Use a seção de pré-requisitos abaixo que corresponde à sua plataforma.

Pré-requisitos para o Client SDK 5

Para configurar o descarregamento SSL/TLS de servidor Web com o Client SDK 5, é necessário o seguinte:

Um AWS CloudHSM cluster ativo com pelo menos dois módulos de segurança de hardware (HSM)

nota
Você pode usar um único cluster HSM, mas primeiro deve desativar a durabilidade da chave do cliente. Para obter mais informações, consulte Gerenciar configurações de durabilidade da chave do cliente e Ferramenta de configuração do Client SDK 5.
Uma EC2 instância da Amazon executando um sistema operacional Linux com o seguinte software instalado:
- Um servidor Web (NGINX ou Apache)
- OpenSSL Dynamic Engine para Client SDK 5
Um usuário de criptografia (CU) para ter e gerenciar a chave privada do servidor Web no HSM.

Para configurar uma instância do servidor web do Linux e criar um CU no HSM

Instale e configure o OpenSSL Dynamic Engine para. AWS CloudHSM Para obter mais informações sobre a instalação do OpenSSL Dynamic Engine, consulte OpenSSL Dynamic Engine para Client SDK 5.
Em uma instância EC2 Linux que tenha acesso ao seu cluster, instale o servidor web NGINX ou Apache:
Amazon Linux
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd24 mod24_ssl
Amazon Linux 2
Para obter informações sobre como baixar a versão mais recente do NGINX no Amazon Linux 2, consulte o site do NGINX.

A versão mais recente do NGINX disponível para o Amazon Linux 2 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
Amazon Linux 2023
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
CentOS 7
Para obter informações sobre como baixar a versão mais recente do NGINX no CentOS 7, consulte o site do NGINX.

A versão mais recente do NGINX disponível para o CentOS 7 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
Red Hat 7
Para obter informações sobre como baixar a versão mais recente do NGINX no Red Hat 7, consulte o site do NGINX.

A versão mais recente do NGINX disponível para o Red Hat 7 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
CentOS 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Red Hat 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Ubuntu 18.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 20.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 22.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 24.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Use a CLI do CloudHSM para criar um CU. Para obter mais informações sobre o gerenciamento de usuários do HSM, consulte Gerenciar usuários do HSM com a CLI do CloudHSM.

dica
Lembre o nome do usuário e a senha do CU. Eles serão necessários mais tarde ao gerar ou importar a chave privada HTTPS e o certificado para o servidor Web.

Depois de concluir essas etapas, vá para Etapa 2: Gerar ou importar uma chave privada e um certificado SSL/TLS.

Observações

Para usar o Security-Enhanced Linux (SELinux) e servidores web, você deve permitir conexões TCP de saída na porta 2223, que é a porta que o Client SDK 5 usa para se comunicar com o HSM.
Para criar e ativar um cluster e dar acesso a uma EC2 instância ao cluster, conclua as etapas em Introdução ao AWS CloudHSM. A introdução oferece step-by-step instruções para criar um cluster ativo com um HSM e uma instância EC2 cliente da Amazon. Você pode usar essa instância de cliente como seu servidor Web.
Para evitar a desativação da durabilidade da chave do cliente, adicione mais de um HSM ao seu cluster. Para obter mais informações, consulte Adicionando um HSM a um AWS CloudHSM cluster.
Você pode usar um cliente SSH ou PuTTY para se conectar à instância do cliente. Para obter mais informações, consulte Conectando-se à sua instância Linux usando SSH ou Conectando-se à sua instância Linux a partir do Windows usando PuTTY na documentação da Amazon EC2.

Pré-requisitos para o Client SDK 3

Para configurar o descarregamento SSL/TLS de servidor Web com o Client SDK 3, é necessário o seguinte:

Um AWS CloudHSM cluster ativo com pelo menos um HSM.
Uma EC2 instância da Amazon executando um sistema operacional Linux com o seguinte software instalado:
- O AWS CloudHSM cliente e as ferramentas da linha de comando.
- O aplicativo do servidor web NGINX ou Apache.
- O mecanismo AWS CloudHSM dinâmico do OpenSSL.
Um usuário de criptografia (CU) para ter e gerenciar a chave privada do servidor Web no HSM.

Para configurar uma instância do servidor web do Linux e criar um CU no HSM

Siga as etapas em Conceitos básicos. Em seguida, você terá um cluster ativo com um HSM e uma instância EC2 cliente da Amazon. Sua EC2 instância será configurada com as ferramentas da linha de comando. Use essa instância de cliente como seu servidor Web.
Conecte-se à instância do cliente. Para obter mais informações, consulte Conectando-se à sua instância Linux usando SSH ou Conectando-se à sua instância Linux a partir do Windows usando PuTTY na documentação da Amazon EC2 .
Em uma instância EC2 Linux que tenha acesso ao seu cluster, instale o servidor web NGINX ou Apache:
Amazon Linux
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd24 mod24_ssl
Amazon Linux 2
A versão 1.19 do NGINX é a versão mais recente do NGINX compatível com o mecanismo SDK do Client SDK 3 no Amazon Linux 2.

Para obter mais informações e baixar a versão 1.19 do NGINX, consulte o site do NGINX.

Apache

$ sudo yum install httpd mod_ssl
CentOS 7
A versão 1.19 do NGINX é a versão mais recente do NGINX compatível com o mecanismo do Client SDK 3 no CentOS 7.

Para obter mais informações e baixar a versão 1.19 do NGINX, consulte o site do NGINX.

Apache

$ sudo yum install httpd mod_ssl
Red Hat 7
A versão 1.19 do NGINX é a versão mais recente do NGINX compatível com o mecanismo Client SDK 3 no Red Hat 7.

Para obter mais informações e baixar a versão 1.19 do NGINX, consulte o site do NGINX.

Apache

$ sudo yum install httpd mod_ssl
Ubuntu 16.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 18.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
(Opcional) Adicione mais HSMs ao seu cluster. Para obter mais informações, consulte Adicionando um HSM a um AWS CloudHSM cluster.
Use cloudhsm_mgmt_util para criar um CU. Para obter mais informações, consulte Usuários do HSM. Lembre o nome do usuário e a senha do CU. Eles serão necessários mais tarde ao gerar ou importar a chave privada HTTPS e o certificado para o servidor Web.

Depois de concluir essas etapas, vá para Etapa 2: Gerar ou importar uma chave privada e um certificado SSL/TLS.

Etapa 2: Gerar ou importar uma chave privada e um certificado SSL/TLS

Para habilitar o HTTPS, seu aplicativo de servidor web (NGINX ou Apache) precisa de uma chave privada e SSL/TLS certificate. To use web server SSL/TLS de um descarregamento correspondente. Você deve armazenar a AWS CloudHSM chave privada em um HSM no seu cluster. AWS CloudHSM Você pode conseguir isso de uma das seguintes maneiras:

Se você ainda não tem uma chave privada e um certificado correspondente, gere uma chave privada em um HSM. Em seguida, use a chave privada para criar uma solicitação de assinatura de certificado (CSR), que é então assinada para produzir um certificadoSSL/TLS.
Se você já tiver uma chave privada e um certificado correspondente, importe a chave privada para um HSM.

Independentemente de qual dos métodos anteriores você escolher, você exporta uma chave privada PEM falsa do HSM, que é um arquivo de chave privada no formato PEM que contém uma referência à chave privada armazenada no HSM (não é a chave privada real). Seu servidor web usa o arquivo da chave privada PEM falsa para identificar a chave privada no HSM durante o descarregamento de SSL/TLS.

Execute um destes procedimentos:

Gerar uma chave privada e um certificado
Importar uma chave privada e um certificado existentes

Gerar uma chave privada e um certificado

Gerar uma chave privada

Esta seção mostra como gerar um par de chaves usando o Key Management Utility (KMU) do Client SDK 3. Depois de gerar um par de chaves dentro do HSM, você pode exportá-lo como um arquivo PEM falso e gerar o certificado correspondente.

As chaves privadas geradas com o Key Management Utility (KMU) podem ser usadas com o Client SDK 3 e Client SDK 5.

Instalar e configurar o Key Management Utility (KMU)

Conecte-se à instância do cliente.
Instale e configure o Client SDK 3.

Execute o comando a seguir para iniciar o AWS CloudHSM cliente.

Execute o comando a seguir para iniciar a ferramenta da linha de comando key_mgmt_util.
```
$ /opt/cloudhsm/bin/key_mgmt_util
```
Execute o seguinte comando para fazer login no HSM. Substitua <user name> e <password> pelo nome de usuário e senha do usuário criptográfico (UC).
```
Command: loginHSM -u CU -s <user name> -p <password>>
```

Gerar uma chave privada

Dependendo do seu caso de uso, você pode gerar um RSA ou um par de chaves EC. Execute um destes procedimentos:

Para gerar uma chave privada RSA em um HSM

Use o comando genRSAKeyPair para gerar um par de chaves RSA. Este exemplo gera um par de chaves RSA com um módulo de 2048, um expoente público de 65537 e um rótulo de. tls_rsa_keypair
```
Command: genRSAKeyPair -m 2048 -e 65537 -l tls_rsa_keypair
```
Se o comando tiver sido bem-sucedido, você verá a seguinte saída indicando que gerou com êxito um par de chaves RSA.
```
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS

                Cfm3GenerateKeyPair:    public key handle: 7    private key handle: 8

                Cluster Status:
                Node id 1 status: 0x00000000 : HSM Return: SUCCESS
```
Para gerar uma chave privada EC em um HSM

Use o comando genECCKeyPair para gerar um par de chaves EC. Este exemplo gera um par de chaves EC com um ID de curva de 2 (correspondente à NID_X9_62_prime256v1 curva) e um rótulo detls_ec_keypair.
```
Command: genECCKeyPair -i 2 -l tls_ec_keypair
```
Se o comando tiver sido bem-sucedido, você verá a seguinte saída indicando que você gerou com êxito um par de chaves EC.
```
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS    

                Cfm3GenerateKeyPair:    public key handle: 7    private key handle: 8

                Cluster Status:
                Node id 1 status: 0x00000000 : HSM Return: SUCCESS
```

Exportar um arquivo de chave privada PEM falso

Depois de ter uma chave privada no HSM, você deve exportar um arquivo de chave privada PEM falso. Esse arquivo não contém os dados reais da chave, mas permite que o OpenSSL Dynamic Engine identifique a chave privada no HSM. Em seguida, use a chave privada para criar uma solicitação de assinatura de certificado (CSR) e assinar o CSR para criar um certificado.

nota

arquivos PEM falsos gerados com o Key Management Utility (KMU) podem ser usados com o Client SDK 3 e o Client SDK 5.

Verifique o identificador da chave que corresponde à chave que você gostaria de exportar como um PEM falso e execute o comando a seguir para exportar a chave privada no formato PEM falso e salvá-la em um arquivo. Substitua os seguintes valores pelo seu próprio.

<private_key_handle>— Manipulação da chave privada gerada. Esse identificador foi gerado por um dos comando de geração de chave na etapa anterior. No exemplo anterior, o identificador da chave privada é 8.
<web_server_example_PEM.key>— Nome do arquivo no qual sua chave PEM falsa será gravada.


Command: getCaviumPrivKey -k <private_key_handle> -out <web_server_example_PEM.key>

Exit

Execute o seguinte comando para interromper a key_mgmt_util.


Command: exit

Agora você deve ter um novo arquivo em seu sistema, localizado no caminho especificado <web_server_example_PEM.key> no comando anterior. Esse arquivo é o arquivo de chave privada PEM falso.

Gere um certificado autoassinado

Depois de gerar uma chave privada PEM falsa, você pode usar esse arquivo para gerar uma solicitação de assinatura de certificado (CSR) e um certificado.

Em um ambiente de produção, geralmente usa-se uma autoridade de certificação (CA) para criar um certificado de uma CSR. Não é necessária uma CA para um ambiente de teste. Se você usa uma CA, envie o arquivo CSR para eles e use o certificado SSL/TLS assinado que eles fornecem em seu servidor web para HTTPS.

Como alternativa ao uso de uma CA, você pode usar o AWS CloudHSM OpenSSL Dynamic Engine para criar um certificado autoassinado. Os certificados autoassinados não são confiáveis para os navegadores e não devem ser usados em ambientes de produção. Eles podem ser usados em ambientes de teste.

Atenção

Os certificados autoassinados devem ser usados apenas em um ambiente de teste. Para um ambiente de produção, use um método mais seguro, como uma autoridade de certificação, para criar um certificado.

Instalar e configurar o OpenSSL Dynamic Engine

Conecte-se à instância do cliente.
Para instalar e configurar, faça um dos seguintes procedimentos:
- Instale o Open SSL Dynamic Engine para AWS CloudHSM o cliente SDK 5
- OpenSSL Dynamic Engine para Client SDK 3 do AWS CloudHSM

Gere um certificado

Obtenha uma cópia do arquivo PEM falso gerado em uma etapa anterior.
Crie uma CSR

Execute o comando a seguir para usar o AWS CloudHSM OpenSSL Dynamic Engine para criar uma solicitação de assinatura de certificado (CSR). <web_server_example_PEM.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa. <web_server.csr>Substitua pelo nome do arquivo que contém sua CSR.

O comando req é interativo. Responda a cada campo. As informações do campo são copiadas para o certificado SSL/TLS.
```
$ openssl req -engine cloudhsm -new -key <web_server_example_PEM.key> -out <web_server.csr>
```
Criar um certificado autoassinado

Execute o comando a seguir para usar o AWS CloudHSM OpenSSL Dynamic Engine para assinar sua CSR com sua chave privada em seu HSM. Isso cria um certificado autoassinado. Substitua os valores a seguir no comando pelos seus próprios.
- <web_server.csr>— Nome do arquivo que contém o CSR.
- <web_server_example_PEM.key>— Nome do arquivo que contém a chave privada PEM falsa.
- <web_server.crt>— Nome do arquivo que conterá seu certificado de servidor web.
```
$ openssl x509 -engine cloudhsm -req -days 365 -in <web_server.csr> -signkey <web_server_example_PEM.key> -out <web_server.crt>
```

Depois de concluir essas etapas, vá para Etapa 3: configure o servidor Web.

Importar uma chave privada e um certificado existentes

Pode ser que você já tenha uma chave privada e um certificado SSL/TLS correspondente que use para HTTPS em seu servidor Web. Se esse for o caso, você pode importar a chave para um HSM seguindo as etapas desta seção.

nota

Algumas observações sobre importações de chaves privadas e compatibilidade com o Client SDK:

A importação de uma chave privada existente requer o Client SDK 3.
Você pode usar chaves privadas do Client SDK 3 com o Client SDK 5.
O OpenSSL Dynamic Engine para Client SDK 3 não é compatível com as plataformas Linux mais recentes, mas a implementação do OpenSSL Dynamic Engine para Client SDK 5 sim. Você pode importar uma chave privada existente usando o Key Management Utility (KMU) fornecido com o Client SDK 3 e, em seguida, usar essa chave privada e a implementação do OpenSSL Dynamic Engine com o Client SDK 5 para suportar o descarregamento de SSL/TLS nas plataformas Linux mais recentes.

Para importar uma chave privada para um HSM com o Client SDK 3.

Conecte-se à sua instância EC2 cliente da Amazon. Se necessário, copie a chave privada e o certificado existentes para a instância.
Instalar e configurar o Client SDK 3.

Execute o comando a seguir para iniciar o AWS CloudHSM cliente.

Execute o comando a seguir para iniciar a ferramenta da linha de comando key_mgmt_util.
```
$ /opt/cloudhsm/bin/key_mgmt_util
```
Execute o seguinte comando para fazer login no HSM. Substitua <user name> e <password> pelo nome de usuário e senha do usuário criptográfico (UC).
```
Command: loginHSM -u CU -s <user name> -p <password>
```
Execute os comandos a seguir para importar sua chave privada em um HSM.
1. Execute o comando a seguir para criar uma chave de encapsulamento simétrica que seja válida somente para a sessão atual. O comando e a saída são exibidos.
```
Command: genSymKey -t 31 -s 16 -sess -l wrapping_key_for_import

Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created.  Key Handle: 6
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
```
2. Execute o comando a seguir para importar sua chave privada existente em um HSM. O comando e a saída são exibidos. Substitua os seguintes valores pelo seu próprio:
  - <web_server_existing.key>— Nome do arquivo que contém sua chave privada.
  - <web_server_imported_key>— Etiqueta para sua chave privada importada.
  - <wrapping_key_handle>— Alça de chave de empacotamento gerada pelo comando anterior. No exemplo anterior, o identificador de chave de encapsulamento é 6.
```
Command: importPrivateKey -f <web_server_existing.key> -l <web_server_imported_key> -w <wrapping_key_handle>

BER encoded key length is 1219
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Private Key Unwrapped.  Key Handle: 8
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
```
Execute o seguinte comando para exportar a chave privada no formato PEM falso e salvá-lo em um arquivo. Substitua os seguintes valores pelo seu próprio.
- <private_key_handle>— Identificador da chave privada importada. Esse identificador foi gerado pelo segundo comando na etapa anterior. No exemplo anterior, o identificador da chave privada é 8.
- <web_server_example_PEM.key>— Nome do arquivo que contém sua chave privada PEM falsa exportada.
```
Command: getCaviumPrivKey -k <private_key_handle> -out <web_server_example_PEM.key>
```
Execute o seguinte comando para interromper a key_mgmt_util.
```
Command: exit
```

Depois de concluir essas etapas, vá para Etapa 3: configure o servidor Web.

Etapa 3: configure o servidor Web

Atualize a configuração do software de servidor web para usar o certificado HTTPS e a chave privada PEM falsa correspondente que você criou na etapa anterior. Lembre-se de fazer backup de seus certificados e chaves existentes antes de começar. Isso concluirá a configuração do software de servidor web do Linux para descarregamento de SSL/TLS com o AWS CloudHSM.

Conclua as etapas de uma das seções a seguir.

Tópicos

Configurar o servidor da Web NGINX
Configure o servidor Web Apache

Configurar o servidor da Web NGINX

Use esta seção para configurar o NGINX em plataformas compatíveis.

Para atualizar a configuração do servidor web para NGINX

Conecte-se à instância do cliente.
Execute o seguinte comando para criar os diretórios necessários para o certificado do servidor Web e a chave privada PEM falsa.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
Execute o seguinte comando para copiar o certificado do seu servidor Web para o local desejado. <web_server.crt>Substitua pelo nome do certificado do seu servidor web.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
Execute o seguinte comando para copiar sua chave privada PEM falsa no local desejado. <web_server_fake_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
```
$ sudo cp <web_server_example_pem.key> /etc/pki/nginx/private/server.key
```
Execute o comando a seguir para alterar a propriedade dos arquivos, para que o usuário chamado nginx possa lê-los.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
Execute o comando a seguir para fazer backup do arquivo /etc/nginx/nginx.conf.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

Atualizar a configuração para NGINX.

nota

Cada cluster pode suportar no máximo 1000 processos de trabalho do NGINX em todos os servidores Web do NGINX.

Amazon Linux

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:

Se estiver usando o Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se estiver usando o Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Amazon Linux 2

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:

Se estiver usando o Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se estiver usando o Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Amazon Linux 2023

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 7

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:

Se estiver usando o Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se estiver usando o Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.    
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 8

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 7

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:

Se estiver usando o Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se estiver usando o Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 8

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Ubuntu 16.04 LTS

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
    env n3fips_password;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 18.04 LTS

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 20.04 LTS

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 22.04 LTS

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
  env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 24.04 LTS

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
  env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Salve o arquivo.

Faça o backup do arquivo de configuração systemd e defina o caminho EnvironmentFile.
Amazon Linux

Nenhuma ação necessária.

Amazon Linux 2
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Amazon Linux 2023
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra /lib/systemd/system/nginx.service em um editor de texto. Na seção [Serviço], adicione:

EnvironmentFile=/etc/sysconfig/nginx
CentOS 7

Nenhuma ação necessária.

CentOS 8
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Red Hat 7

Nenhuma ação necessária.

Red Hat 8
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 16.04
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 18.04
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 20.04 LTS
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 22.04 LTS
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 24.04 LTS
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Verifique se o arquivo /etc/sysconfig/nginx existe e siga um destes procedimentos:
- Se o arquivo existir, faça backup do arquivo executando o seguinte comando:
```
$ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
```
- Se o arquivo não existir, abra um editor de texto e crie um arquivo chamado nginx na pasta /etc/sysconfig/.
Configure o ambiente NGINX.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU.
Amazon Linux
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Amazon Linux 2
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Amazon Linux 2023
Como usuário root do Linux, abra o /etc/sysconfig/nginx arquivo em um editor de texto. Por exemplo,
```
sudo vi /etc/sysconfig/nginx
```
Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
CentOS 7
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
CentOS 8
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Red Hat 7
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Red Hat 8
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Ubuntu 16.04 LTS
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
n3fips_password=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Ubuntu 18.04 LTS
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Ubuntu 20.04 LTS
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Ubuntu 22.04 LTS
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Ubuntu 24.04 LTS
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

Salve o arquivo.
Inicie o servidor web NGINX.
Amazon Linux
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
$ sudo service nginx start
```
Amazon Linux 2
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Amazon Linux 2023
Pare todos os processos do NGINX
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o NGINX
```
$ sudo systemctl start nginx
```
CentOS 7
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
CentOS 8
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Red Hat 7
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Red Hat 8
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 16.04 LTS
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 18.04 LTS
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 20.04 LTS
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 22.04 LTS
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 24.04 LTS
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```

(Opcional) Configure sua plataforma para iniciar o NGINX na inicialização.

Depois de atualizar a configuração do servidor web, vá para Etapa 4: permitir tráfego HTTPS e verificar o certificado.

Configure o servidor Web Apache

Use esta seção para configurar o Apache em plataformas compatíveis.

Para atualizar a configuração do servidor Web para o Apache

Conecte-se à sua instância EC2 cliente da Amazon.

Defina locais padrão para certificados e chaves privadas para sua plataforma.

Amazon Linux

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Amazon Linux 2

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Amazon Linux 2023

Abra o /etc/httpd/conf.d/ssl.conf arquivo. Adicione esses valores se eles ainda não existirem:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 7

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 8

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 7

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 8

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Ubuntu 16.04 LTS

No arquivo /etc/apache2/sites-available/default-ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 18.04 LTS

No arquivo /etc/apache2/sites-available/default-ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 20.04 LTS

No arquivo /etc/apache2/sites-available/default-ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 22.04 LTS

No arquivo /etc/apache2/sites-available/default-ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 24.04 LTS

No arquivo /etc/apache2/sites-available/default-ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Copie o certificado do seu servidor web para o local necessário para sua plataforma.
Amazon Linux
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Amazon Linux 2
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Amazon Linux 2023
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
CentOS 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
CentOS 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Red Hat 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Red Hat 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Ubuntu 22.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Ubuntu 24.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
<web_server.crt>Substitua pelo nome do certificado do seu servidor web.
Copie sua chave privada PEM falsa para o local necessário para sua plataforma.
Amazon Linux
```
$ sudo cp <web_server_example_pem.key> /etc/pki/tls/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Amazon Linux 2
```
$ sudo cp <web_server_example_pem.key> /etc/pki/tls/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Amazon Linux 2023
```
$ sudo cp <web_server_example_pem.key> /etc/pki/tls/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
CentOS 7
```
$ sudo cp <web_server_example_pem.key> /etc/pki/tls/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
CentOS 8
```
$ sudo cp <web_server_example_pem.key> /etc/pki/tls/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Red Hat 7
```
$ sudo cp <web_server_example_pem.key> /etc/pki/tls/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Red Hat 8
```
$ sudo cp <web_server_example_pem.key> /etc/pki/tls/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server_example_pem.key> /etc/ssl/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server_example_pem.key> /etc/ssl/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server_example_pem.key> /etc/ssl/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Ubuntu 22.04 LTS
```
$ sudo cp <web_server_example_pem.key> /etc/ssl/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Ubuntu 24.04 LTS
```
$ sudo cp <web_server_example_pem.key> /etc/ssl/private/localhost.key
```
<web_server_example_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
Altere a propriedade desses arquivos, se exigido pela sua plataforma.
Amazon Linux
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Amazon Linux 2
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Amazon Linux 2023
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
CentOS 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
CentOS 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Red Hat 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Red Hat 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Ubuntu 16.04 LTS

Nenhuma ação necessária.

Ubuntu 18.04 LTS

Nenhuma ação necessária.

Ubuntu 20.04 LTS

Nenhuma ação necessária.

Ubuntu 22.04 LTS

Nenhuma ação necessária.

Ubuntu 24.04 LTS

Nenhuma ação necessária.

Configure as diretivas do Apache para sua plataforma.

Amazon Linux

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

Amazon Linux 2

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

Amazon Linux 2023

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

O arquivo de configuração do Apache define o comportamento do servidor. Edite esse arquivo com permissões de root.

Atualize ou adicione as seguintes diretivas:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

CentOS 7

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

CentOS 8

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Salve o arquivo.

Red Hat 7

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

Red Hat 8

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Salve o arquivo.

Ubuntu 16.04 LTS

Localize o arquivo SSL dessa plataforma:


/etc/apache2/mods-available/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

Ative o módulo SSL e a configuração padrão do site SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 18.04 LTS

Localize o arquivo SSL dessa plataforma:


/etc/apache2/mods-available/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Salve o arquivo.

Ative o módulo SSL e a configuração padrão do site SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 20.04 LTS

Localize o arquivo SSL dessa plataforma:


/etc/apache2/mods-available/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Salve o arquivo.

Ative o módulo SSL e a configuração padrão do site SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 22.04 LTS

Localize o arquivo SSL dessa plataforma:


/etc/apache2/mods-available/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Salve o arquivo.

Ative o módulo SSL e a configuração padrão do site SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 24.04 LTS

Localize o arquivo SSL dessa plataforma:


/etc/apache2/mods-available/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Salve o arquivo.

Ative o módulo SSL e a configuração padrão do site SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Configure um arquivo de valores de ambiente para sua plataforma.
Amazon Linux

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Amazon Linux 2
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Amazon Linux 2023
Abra o /lib/systemd/system/httpd.service

Na seção [Serviço], adicione:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 7
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 8
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 7
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 8
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Ubuntu 16.04 LTS

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Ubuntu 18.04 LTS

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Ubuntu 20.04 LTS

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Ubuntu 22.04 LTS

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Ubuntu 24.04 LTS

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd
No arquivo que armazena variáveis de ambiente para sua plataforma, defina uma variável de ambiente que contenha as credenciais do usuário criptográfico (CU):
Amazon Linux
Use um editor de texto para editar o /etc/sysconfig/httpd.
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais da UC.
Amazon Linux 2
Use um editor de texto para editar o /etc/sysconfig/httpd.
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais da UC.
Amazon Linux 2023
Abra/etc/sysconfig/httpd, adicione:
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.
CentOS 7
Use um editor de texto para editar o /etc/sysconfig/httpd.
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais da UC.
CentOS 8
Use um editor de texto para editar o /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.
Red Hat 7
Use um editor de texto para editar o /etc/sysconfig/httpd.
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais da UC.
Red Hat 8
Use um editor de texto para editar o /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU.
Ubuntu 16.04 LTS
Use um editor de texto para editar o /etc/apache2/envvars.
```
export n3fips_password=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.
Ubuntu 18.04 LTS
Use um editor de texto para editar o /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU. No SDK do cliente 3, você armazenou as credenciais da UC na variável de ambiente n3fips_password. O Client SDK 5 é compatível com as duas variáveis de ambiente, mas recomendamos o uso de CLOUDHSM_PIN.
Ubuntu 20.04 LTS
Use um editor de texto para editar o /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU. No SDK do cliente 3, você armazenou as credenciais da UC na variável de ambiente n3fips_password. O Client SDK 5 é compatível com as duas variáveis de ambiente, mas recomendamos o uso de CLOUDHSM_PIN.
Ubuntu 22.04 LTS
Use um editor de texto para editar o /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU. No SDK do cliente 3, você armazenou as credenciais da UC na variável de ambiente n3fips_password. O Client SDK 5 é compatível com as duas variáveis de ambiente, mas recomendamos o uso de CLOUDHSM_PIN.
Ubuntu 24.04 LTS
Use um editor de texto para editar o /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais da UC.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU. No SDK do cliente 3, você armazenou as credenciais da UC na variável de ambiente n3fips_password. O Client SDK 5 é compatível com as duas variáveis de ambiente, mas recomendamos o uso de CLOUDHSM_PIN.

Inicie o servidor web Apache.

(Opcional) Configure sua plataforma para iniciar o Apache na inicialização.

Depois de atualizar a configuração do servidor web, vá para Etapa 4: permitir tráfego HTTPS e verificar o certificado.

Etapa 4: permitir tráfego HTTPS e verificar o certificado

Depois de configurar seu servidor web para descarga de SSL/TLS AWS CloudHSM, adicione sua instância de servidor web a um grupo de segurança que permite tráfego HTTPS de entrada. Isso permite que clientes, como navegadores da Web, estabeleçam uma conexão HTTPS com seu servidor Web. Em seguida, faça uma conexão HTTPS com seu servidor web e verifique se ele está usando o certificado que você configurou para descarga de SSL/TLS. AWS CloudHSM

Tópicos

Habilitar conexões HTTPS de entrada
Verificar se o HTTPS usa o certificado que você configurou

Habilitar conexões HTTPS de entrada

Para se conectar ao seu servidor Web a partir de um cliente (como um navegador da Web), crie um grupo de segurança que permita conexões HTTPS de entrada. Especificamente, ele deve permitir conexões TCP de entrada na porta 443. Atribua esse grupo de segurança ao seu servidor Web.

Para criar um grupo de segurança para HTTPS e atribuí-lo ao seu servidor Web

Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.
No painel de navegação, escolha Grupos de segurança.
Escolha Create security group (Criar grupo de segurança).
Para Create Security Group, faça o seguinte:
1. Para Security group name, digite um nome para security group que você está criando.
2. (Opcional) Digite uma descrição do security group que você está criando.
3. Para VPC, escolha a VPC que contém sua instância Amazon de servidor web. EC2
4. Selecione Adicionar regra.
5. Em Tipo, selecione HTTPS na janela suspensa.
6. Em Fonte, insira um local de origem.
7. Escolha Create security group (Criar grupo de segurança).
No painel de navegação, escolha Instances (Instâncias).
Marque a caixa de seleção ao lado da sua instância do servidor Web.
Selecione o menu suspenso Ações, na parte superior da página. Selecione Segurança e, em seguida, Alterar grupos de segurança.
Em Grupos de segurança associados, escolha a caixa de pesquisa e escolha o grupo de segurança que você criou para HTTPS. Em seguida, escolha Adicionar grupos de segurança.
Selecione Save (Salvar).

Verificar se o HTTPS usa o certificado que você configurou

Depois de adicionar o servidor web a um grupo de segurança, você pode verificar se o descarregamento de SSL/TLS está usando seu certificado autoassinado. Faça isso com um navegador da Web ou com uma ferramenta como OpenSSL s_client.

Para verificar o descarregamento de SSL/TLS com um navegador da Web

Use um navegador da Web para se conectar ao servidor Web usando o nome de DNS público ou endereço IP do servidor. Certifique-se de que a URL na barra de endereços comece com https://. Por exemplo, https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/.

dica
Você pode usar um serviço de DNS, como o Amazon Route 53, para rotear o nome de domínio do seu site (por exemplo, https://www.example.com/) para o seu servidor web. Para obter mais informações, consulte Roteamento de tráfego para uma EC2 instância da Amazon no Guia do desenvolvedor do Amazon Route 53 ou na documentação do seu serviço de DNS.
Use seu navegador da Web para ver o certificado do servidor Web. Para obter mais informações, consulte:
- Para o Mozilla Firefox, consulte o tópico sobre como Visualizar um certificado, no site de suporte da Mozilla.
- Para o Google Chrome, consulte Noções básicas de problemas de segurança, no site Google Tools for Web Developers.
Outros navegadores da Web podem ter recursos semelhantes, que você pode usar para visualizar o certificado do servidor Web.
Garanta que o certificado SSL/TLS é aquele para o qual você configurou o servidor Web para usar.

Para verificar o descarregamento de SSL/TLS com OpenSSL s_client

Execute o seguinte comando OpenSSL para se conectar ao seu servidor Web usando HTTPS. <server name>Substitua pelo nome DNS público ou endereço IP do seu servidor web.
```
openssl s_client -connect <server name>:443
```
dica
Você pode usar um serviço de DNS, como o Amazon Route 53, para rotear o nome de domínio do seu site (por exemplo, https://www.example.com/) para o seu servidor web. Para obter mais informações, consulte Roteamento de tráfego para uma EC2 instância da Amazon no Guia do desenvolvedor do Amazon Route 53 ou na documentação do seu serviço de DNS.
Garanta que o certificado SSL/TLS é aquele para o qual você configurou o servidor Web para usar.

Agora você tem um site protegido com HTTPS. A chave privada do servidor web é armazenada em um HSM no seu AWS CloudHSM cluster.

Para adicionar um balanceador de carga, consulte Adicionar um balanceador de carga com o Elastic Load Balancing para AWS CloudHSM (opcional).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como funciona

Descarregamento no Linux com JSSE

AWS CloudHSM Descarregamento de SSL/TLS no Linux usando NGINX ou Apache com OpenSSL

Tópicos

Visão geral

Etapa 1: configurar os pré-requisitos

Tópicos

Pré-requisitos para o Client SDK 5

nota

Para configurar uma instância do servidor web do Linux e criar um CU no HSM

dica

Observações

Pré-requisitos para o Client SDK 3

Para configurar uma instância do servidor web do Linux e criar um CU no HSM

Etapa 2: Gerar ou importar uma chave privada e um certificado SSL/TLS

Execute um destes procedimentos:

Gerar uma chave privada e um certificado

Gerar uma chave privada

Instalar e configurar o Key Management Utility (KMU)

nota

Gere um certificado autoassinado

Atenção

Instalar e configurar o OpenSSL Dynamic Engine

Gere um certificado

Importar uma chave privada e um certificado existentes

nota

Para importar uma chave privada para um HSM com o Client SDK 3.

Etapa 3: configure o servidor Web

Tópicos

Configurar o servidor da Web NGINX

Para atualizar a configuração do servidor web para NGINX

nota

nota

Configure o servidor Web Apache

Para atualizar a configuração do servidor Web para o Apache

nota

nota

nota

nota

nota

Etapa 4: permitir tráfego HTTPS e verificar o certificado

Tópicos

Habilitar conexões HTTPS de entrada

Para criar um grupo de segurança para HTTPS e atribuí-lo ao seu servidor Web

Verificar se o HTTPS usa o certificado que você configurou

Para verificar o descarregamento de SSL/TLS com um navegador da Web

dica

Para verificar o descarregamento de SSL/TLS com OpenSSL s_client

dica