As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AL2 Tutoriais
Os tutoriais a seguir mostram como realizar tarefas comuns usando instâncias do Amazon EC2 em execução. AL2 Para acessar tutoriais em vídeo, consulte os [vídeos instrutivos e laboratórios da AWS](https://www.aws.training/).
Para AL2023 obter instruções, consulte os [tutoriais](https://docs.aws.amazon.com/linux/al2023/ug/tutorials-al2023.html) no Guia do *usuário do Amazon Linux 2023*.
**Topics**
+ [Tutorial: Instalar um servidor LAMP em AL2](ec2-lamp-amazon-linux-2.md)
+ [Tutorial: Configurar SSL/TLS em AL2](SSL-on-amazon-linux-2.md)
+ [Tutorial: hospede um WordPress blog no AL2](hosting-wordpress.md)
# Tutorial: Instalar um servidor LAMP em AL2
Os procedimentos a seguir ajudam você a instalar um servidor web Apache com suporte a PHP e [MariaDB](https://mariadb.org/about/) (uma bifurcação do MySQL desenvolvida pela comunidade) em AL2 sua instância (às vezes chamada de servidor web LAMP ou pilha LAMP). Você pode usar esse servidor para hospedar um site estático ou para implantar um aplicativo PHP dinâmico que lê e grava informações em um banco de dados.
**Importante**
Se você estiver tentando configurar um servidor web LAMP em uma distribuição diferente, como Ubuntu ou Red Hat Enterprise Linux, este tutorial não funcionará. Para isso AL2023, consulte [Instalar um servidor LAMP em AL2023](https://docs.aws.amazon.com//linux/al2023/ug/ec2-lamp-amazon-linux-2023.html). Para o Ubuntu, consulte a seguinte documentação da comunidade Ubuntu: [ApacheMySQLPHP](https://help.ubuntu.com/community/ApacheMySQLPHP). Para outras distribuições, consulte a documentação específica.
**Opção: concluir este tutorial usando a automação**
Para concluir este tutorial usando a AWS Systems Manager automação em vez das tarefas a seguir, execute o [AWS documento Docs-Install ALAMPServer - AL2](https://console.aws.amazon.com/systems-manager/automation/execute/AWSDocs-InstallALAMPServer-AL2) Automation.
**Topics**
+ [Etapa 1: Preparar o servidor LAMP](#prepare-lamp-server)
+ [Etapa 2: Testar o servidor LAMP](#test-lamp-server)
+ [Etapa 3: Proteger o servidor do banco de dados](#secure-mariadb-lamp-server)
+ [Etapa 4: Instalação (opcional) phpMyAdmin](#install-phpmyadmin-lamp-server)
+ [Solução de problemas](#lamp-troubleshooting)
+ [Tópicos relacionados](#lamp-more-info)
## Etapa 1: Preparar o servidor LAMP
**Pré-requisitos**
+ Este tutorial pressupõe que você já tenha iniciado uma nova instância usando AL2, com um nome DNS público que pode ser acessado pela Internet. Para obter mais informações, consulte [Executar uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html) no *Guia do usuário do Amazon EC2*. Você também precisa ter configurado o security group para permitir conexões SSH (porta 22), HTTP (porta 80) e HTTPS (porta 443). Para obter mais informações sobre esses pré-requisitos, consulte [Regras de grupos de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) no Guia do usuário do *Amazon* EC2.
+ O procedimento a seguir instala a versão mais recente do PHP disponível no AL2 momento`php8.2`. Se você planeja usar aplicativos PHP diferentes daqueles descritos neste tutorial, você deve verificar a compatibilidade com o `php8.2`.
**Para preparar o servidor LAMP**
1. [Conecte-se à sua instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html).
1. Para garantir que todos os pacotes de software estejam atualizados, execute uma atualização rápida de software em sua instância. Esse processo pode levar alguns minutos, mas é importante ter certeza de que você tem as atualizações de segurança e correções de bug mais recentes.
A opção `-y` instala as atualizações sem solicitar confirmação. Para examinar as atualizações antes da instalação, você pode omitir essa opção.
```
[ec2-user ~]$ sudo yum update -y
```
1. Instale os repositórios Amazon Linux Extras do `mariadb10.5` para obter as versões mais recentes do pacote do MariaDB.
```
[ec2-user ~]$ sudo amazon-linux-extras install mariadb10.5
```
Se receber um erro relatando `sudo: amazon-linux-extras: command not found`, isso significa que sua instância não foi executada com uma AMI do Amazon Linux 2 (talvez você esteja usando a Amazon Linux AMI). Você pode visualizar sua versão do Amazon Linux usando o comando a seguir.
```
cat /etc/system-release
```
1. Instale os repositórios `php8.2` Amazon Linux Extras para obter a versão mais recente do PHP pacote para AL2.
```
[ec2-user ~]$ sudo amazon-linux-extras install php8.2
```
1. Agora que sua instância está atualizada, você pode instalar os pacotes de software de servidor Web Apache, MariaDB e PHP. Use o comando de instalação do yum para instalar os vários pacotes de software e todas as dependências relacionadas ao mesmo tempo
```
[ec2-user ~]$ sudo yum install -y httpd
```
Você pode visualizar as versões atuais desses pacotes usando o comando a seguir:
```
yum info package_name
```
1. Inicie o servidor web Apache.
```
[ec2-user ~]$ sudo systemctl start httpd
```
1. Use o comando **systemctl** para configurar o servidor web Apache para iniciar em cada inicialização do sistema.
```
[ec2-user ~]$ sudo systemctl enable httpd
```
Você pode verificar se **httpd** está ativo executando o seguinte comando:
```
[ec2-user ~]$ sudo systemctl is-enabled httpd
```
1. Adicione uma regra de segurança para permitir conexões HTTP de entrada (porta 80) na instância caso você ainda não tenha feito isso. Por padrão, um grupo de *N* segurança do **assistente de inicialização** foi configurado para sua instância durante a inicialização. Esse grupo contém uma única regra para permitir conexões SSH.
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Escolha **Instances (Instâncias)** e selecione a instância.
1. Na guia **Security (Segurança)**, exiba as regras de entrada. Você deve ver a seguinte regra:
```
Port range Protocol Source
22 tcp 0.0.0.0/0
```
**Atenção**
Usar `0.0.0.0/0` permite que todos os IPv4 endereços acessem sua instância usando SSH. Isso é aceitável para um período curto em um ambiente de teste, mas não é seguro em ambientes de produção. Na produção, você autorizará somente um endereço IP específico ou intervalo de endereços para acessar a instância.
1. Escolha o link do grupo de segurança. Usando os procedimentos em [Adicionar regras a um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule), adicione uma nova regra de segurança de entrada com os seguintes valores:
+ **Tipo:** HTTP
+ **Protocolo**: TCP
+ **Port Range**: 80
+ **Source (Origem)**: personalizado
1. Teste o servidor web. Em um navegador, digite o endereço DNS público (ou o endereço IP público) de sua instância. Se não houver conteúdo em `/var/www/html`, você deverá verificar a página de teste do Apache. Você pode obter o DNS público da instância usando o console do Amazon EC2 (verifique a coluna **Public DNS (DNS público)**. Se essa coluna estiver oculta, escolha **Show/Hide Columns (Mostrar/ocultar colunas)** (o ícone em forma de engrenagem) e escolha **Public DNS (DNS público)**).
Verifique se o grupo de segurança da instância contém uma regra para permitir o tráfego HTTP na porta 80. Para saber mais, consulte [Add rules to security group](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule).
**Importante**
Se você não estiver usando o Amazon Linux, poderá ser necessário configurar o firewall na instância para permitir essas conexões. Para obter mais informações sobre como configurar o firewall, consulte a documentação de sua distribuição específica.
![\[O teste do servidor mostra a página de teste do Apache.\]](http://docs.aws.amazon.com/pt_br/linux/al2/ug/images/apache_test_page_al2_2.4.png)
O **httpd** do Apache é usado para os arquivos que são mantidos em um diretório chamado raiz de documentos do Apache. O diretório raiz de documentos Apache do Amazon Linux é `/var/www/html`, que, por padrão, é de propriedade da raiz.
Para permitir que a conta do `ec2-user` manipule arquivos nesse diretório, você deve modificar a propriedade e as permissões do diretório. Existem diversas maneiras de realizar essa tarefa. Neste tutorial, você adiciona o usuário `ec2-user` ao grupo `apache` para dar ao grupo `apache` a propriedade do diretório `/var/www` e atribuir permissões de gravação ao grupo.
**Para definir permissões de arquivo**
1. Adicione o usuário (neste caso, o `ec2-user`) ao grupo do `apache`.
```
[ec2-user ~]$ sudo usermod -a -G apache ec2-user
```
1. Faça logout e login novamente para selecionar o novo grupo verifique sua associação.
1. Faça logout (use o comando **exit** ou feche a janela do terminal):
```
[ec2-user ~]$ exit
```
1. Para verificar sua associação no grupo `apache`, reconecte-se à instância e execute o comando a seguir:
```
[ec2-user ~]$ groups
ec2-user adm wheel apache systemd-journal
```
1. Altere a propriedade do grupo do `/var/www` e seu conteúdo para o grupo do `apache`.
```
[ec2-user ~]$ sudo chown -R ec2-user:apache /var/www
```
1. Para adicionar as permissões de gravação do grupo e definir o ID do grupo nos subdiretórios futuros, altere as permissões de diretório de `/var/www` e de seus subdiretórios.
```
[ec2-user ~]$ sudo chmod 2775 /var/www && find /var/www -type d -exec sudo chmod 2775 {} \;
```
1. Para adicionar permissões de gravação do grupo, altere recursivamente as permissões de arquivo de `/var/www` e de seus subdiretórios:
```
[ec2-user ~]$ find /var/www -type f -exec sudo chmod 0664 {} \;
```
Agora, `ec2-user` (e outros todos os futuros do grupo `apache`) poderão adicionar, excluir e editar arquivos na raiz do documento Apache, permitindo que você adicione conteúdo, como um site estático ou uma aplicação PHP.
**Para proteger o servidor web (opcional)**
Um servidor web que executa o protocolo HTTP não fornece nenhuma segurança de transporte para os dados que envia ou recebe. Quando você se conecta a um servidor HTTP usando um navegador da Web, o conteúdo URLs que você visita, o conteúdo das páginas da Web que você recebe e o conteúdo (incluindo senhas) de qualquer formulário HTML que você envia são todos visíveis para espiões em qualquer lugar ao longo do caminho da rede. A melhor prática para proteger o servidor web é instalar suporte para HTTPS (HTTP seguro), que protege os dados por meio de criptografia SSL/TLS.
Para obter informações sobre como habilitar o HTTPS no servidor, consulte [Tutorial: Configurar SSL/TLS em AL2](SSL-on-amazon-linux-2.md).
## Etapa 2: Testar o servidor LAMP
Se o servidor estiver instalado e em execução, e suas permissões de arquivo estiverem definidas corretamente, a conta do `ec2-user` poderá criar um arquivo PHP no diretório `/var/www/html` disponível na Internet.
**Para testar o servidor do LAMP**
1. Crie um arquivo PHP no diretório base do Apache.
```
[ec2-user ~]$ echo "" > /var/www/html/phpinfo.php
```
Se você receber o erro ”Permissão negada" ao tentar executar esse comando, tente fazer logout e login novamente para obter as permissões corretas do grupo que você configurou em [Para definir permissões de arquivo](#setting-file-permissions-2).
1. Em um navegador da web, digite a URL do arquivo que você acabou de criar. Essa URL é o endereço DNS público da instância seguido por uma barra e o nome do arquivo. Por exemplo:
```
http://my.public.dns.amazonaws.com/phpinfo.php
```
Você deve ver a página de informações do PHP:
![\[O teste do servidor LAMP mostra a página de informações do PHP.\]](http://docs.aws.amazon.com/pt_br/linux/al2/ug/images/phpinfo7.2.10.png)
Se você não vir essa página, verifique se o arquivo `/var/www/html/phpinfo.php` foi criado corretamente na etapa anterior. Você também pode verificar se todos os pacotes necessários foram instalados com o comando a seguir.
```
[ec2-user ~]$ sudo yum list installed httpd mariadb-server php-mysqlnd
```
Se alguns dos pacotes necessários não estiverem listados na saída, instale-os com o comando **sudo yum install *package***. Além disso, verifique se os extras `php7.2` e `lamp-mariadb10.2-php7.2` estão habilitados na saída do comando **amazon-linux-extras**.
1. Exclua o arquivo `phpinfo.php`. Embora essas informações possam ser úteis, elas não devem ser transmitidas pela Internet por motivos de segurança.
```
[ec2-user ~]$ rm /var/www/html/phpinfo.php
```
Agora você deve ter um servidor web do LAMP totalmente funcional. Se adicionar conteúdo ao diretório base do Apache em `/var/www/html`, você deverá poder visualizar esse conteúdo no endereço DNS público de sua instância.
## Etapa 3: Proteger o servidor do banco de dados
A instalação padrão do servidor MariaDB tem vários recursos que são bons para teste e desenvolvimento, mas devem ser desabilitados ou removidos em servidores de produção. O comando **mysql\$1secure\$1installation** orienta você durante o processo de configuração de uma senha raiz e da remoção de recursos não seguros da instalação. Mesmo que você não esteja planejando usar o servidor MariaDB é recomendável executar este procedimento.
**Para proteger o servidor MariaDB**
1. Inicie o servidor MariaDB.
```
[ec2-user ~]$ sudo systemctl start mariadb
```
1. Executar **mysql\$1secure\$1installation**.
```
[ec2-user ~]$ sudo mysql_secure_installation
```
1. Quando solicitado, digite uma senha para a conta raiz.
1. Digite a senha raiz atual. Por padrão, a conta raiz não tem uma senha definida. Pressione Enter.
1. Digite **Y** para definir uma senha e digite uma senha segura duas vezes. Para obter mais informações sobre como criar uma senha segura, consulte [https://identitysafe.norton.com/password-generator/](https://identitysafe.norton.com/password-generator/). Armazene essa senha em um lugar seguro.
A configuração de uma senha raiz para o MariaDB é somente a medida mais básica para proteger seu banco de dados. Ao criar ou instalar um aplicativo controlado por banco de dados, geralmente, você cria um usuário de serviço de banco para esse aplicativo e evita usar a conta raiz para qualquer coisa que não seja a administração do banco de dados.
1. Digite **Y** para remover as contas de usuários anônimos.
1. Digite **Y** para desabilitar o recurso de login remoto da raiz.
1. Digite **Y** para remover o banco de dados de teste.
1. Digite **Y** para recarregar as tabelas de privilégios e salvar suas alterações.
1. (Opcional) Se você não pretende usar o servidor MariaDB imediatamente, interrompa-o. Você poderá reiniciá-lo quando precisar dele novamente.
```
[ec2-user ~]$ sudo systemctl stop mariadb
```
1. (Opcional) Se você quiser que o servidor MariaDB seja iniciado a cada inicialização, digite o comando a seguir.
```
[ec2-user ~]$ sudo systemctl enable mariadb
```
## Etapa 4: Instalação (opcional) phpMyAdmin
[phpMyAdmin](https://www.phpmyadmin.net/)é uma ferramenta de gerenciamento de banco de dados baseada na web que você pode usar para visualizar e editar os bancos de dados MySQL na sua instância do EC2. Siga as etapas a seguir para instalar e configurar o `phpMyAdmin` em sua instância do Amazon Linux.
**Importante**
Não recomendamos o uso `phpMyAdmin` para acessar um servidor LAMP, a menos que você tenha habilitado SSL/TLS o Apache; caso contrário, sua senha de administrador de banco de dados e outros dados serão transmitidos de forma insegura pela Internet. Para obter recomendações de segurança dos desenvolvedores, consulte [Protegendo sua phpMyAdmin instalação](https://docs.phpmyadmin.net/en/latest/setup.html#securing-your-phpmyadmin-installation). Para obter informações gerais sobre como proteger um servidor web em uma instância do EC2, consulte [Tutorial: Configurar SSL/TLS em AL2](SSL-on-amazon-linux-2.md).
**Para instalar phpMyAdmin**
1. Instale as dependências necessárias.
```
[ec2-user ~]$ sudo yum install php-mbstring php-xml -y
```
1. Reinicie o Apache.
```
[ec2-user ~]$ sudo systemctl restart httpd
```
1. Reinicie o `php-fpm`.
```
[ec2-user ~]$ sudo systemctl restart php-fpm
```
1. Navegue até o diretório base do Apache em `/var/www/html`.
```
[ec2-user ~]$ cd /var/www/html
```
1. Selecione um pacote de origem para a phpMyAdmin versão mais recente em [https://www.phpmyadmin.net/downloads](https://www.phpmyadmin.net/downloads). Para fazer download do arquivo diretamente para a instância, copie o link e cole-o em um comando **wget**, como neste exemplo:
```
[ec2-user html]$ wget https://www.phpmyadmin.net/downloads/phpMyAdmin-latest-all-languages.tar.gz
```
1. Crie uma pasta `phpMyAdmin` e extraia o pacote dela com o comando a seguir.
```
[ec2-user html]$ mkdir phpMyAdmin && tar -xvzf phpMyAdmin-latest-all-languages.tar.gz -C phpMyAdmin --strip-components 1
```
1. Exclua o *phpMyAdmin-latest-all-languages.tar.gz* tarball.
```
[ec2-user html]$ rm phpMyAdmin-latest-all-languages.tar.gz
```
1. (Opcional) Se o servidor MySQL não estiver em execução, inicie-o agora.
```
[ec2-user ~]$ sudo systemctl start mariadb
```
1. Em um navegador da Web, digite a URL da sua phpMyAdmin instalação. Essa URL é o endereço DNS público (ou o endereço IP público) da instância seguido por uma barra e o nome do diretório de instalação. Por exemplo:
```
http://my.public.dns.amazonaws.com/phpMyAdmin
```
Você deve ver a página de phpMyAdmin login:
![\[O resultado da digitação do URL da sua phpMyAdmin instalação é a tela de phpMyAdmin login.\]](http://docs.aws.amazon.com/pt_br/linux/al2/ug/images/phpmyadmin_login.png)
1. Faça login na sua phpMyAdmin instalação com o nome de `root` usuário e a senha raiz do MySQL que você criou anteriormente.
A instalação ainda deve ser configurada antes que você a coloque em serviço. Sugerimos que você comece criando manualmente o arquivo de configuração, da seguinte maneira:
1. Para começar com um arquivo de configuração mínima, use seu editor de texto favorito para criar um novo arquivo e, em seguida, copie o conteúdo de `config.sample.inc.php` para ele.
1. Salve o arquivo como `config.inc.php` no phpMyAdmin diretório que contém`index.php`.
1. Consulte as instruções de criação pós-arquivo na seção [Usando o script](https://docs.phpmyadmin.net/en/latest/setup.html#using-the-setup-script) de phpMyAdmin instalação das instruções de instalação para qualquer configuração adicional.
Para obter informações sobre o uso phpMyAdmin, consulte o [Guia phpMyAdmin do usuário](http://docs.phpmyadmin.net/en/latest/user.html).
## Solução de problemas
Esta seção oferece sugestões para resolver problemas comuns que você pode encontrar ao configurar um novo servidor do LAMP.
### Não consigo me conectar ao servidor usando um navegador da web
Execute as seguintes verificações para ver se o servidor da web do Apache está em execução e acessível.
+ **O servidor web está em execução?**
Você pode verificar se **httpd** está ativo executando o seguinte comando:
```
[ec2-user ~]$ sudo systemctl is-enabled httpd
```
Se o processo **httpd** não estiver em execução, repita as etapas descritas em [Para preparar o servidor LAMP](#install_apache-2).
+ **O firewall está configurado corretamente?**
Verifique se o grupo de segurança da instância contém uma regra para permitir o tráfego HTTP na porta 80. Para saber mais, consulte [Add rules to security group](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule).
### Não consigo me conectar ao meu servidor usando HTTPS
Execute as seguintes verificações para ver se o servidor da web do Apache está configurado para dar suporte a HTTPS.
+ **O servidor Web está configurado corretamente?**
Depois de instalar o Apache, o servidor é configurado para tráfego HTTP. Para suportar HTTPS, ative o TLS no servidor e instale um certificado SSL. Para mais informações, consulte [Tutorial: Configurar SSL/TLS em AL2](SSL-on-amazon-linux-2.md).
+ **O firewall está configurado corretamente?**
Verifique se o grupo de segurança da instância contém uma regra para permitir o tráfego HTTPS na porta 443. Para obter mais informações, consulte [Adicionar regras a um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule).
## Tópicos relacionados
Para obter mais informações sobre como transferir arquivos para sua instância ou instalar um WordPress blog em seu servidor web, consulte a documentação a seguir:
+ [Transfira arquivos para sua instância Linux usando WinSCP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#Transfer_WinSCP) o.
+ [Transfira arquivos para instâncias Linux usando um SCP cliente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html#linux-file-transfer-scp).
+ [Tutorial: hospede um WordPress blog no AL2](hosting-wordpress.md)
Para obter mais informações sobre os comandos e o software usados neste tutorial, consulte as seguintes páginas da web:
+ Servidor web Apache: [http://httpd.apache.org/](http://httpd.apache.org/)
+ Servidor de banco de dados MariaDB: [https://mariadb.org/](https://mariadb.org/)
+ Linguagem de programação PHP: [http://php.net/](http://php.net/)
+ O `chmod` comando: [https://en.wikipedia. org/wiki/Chmod](https://en.wikipedia.org/wiki/Chmod)
+ O `chown` comando: [https://en.wikipedia. org/wiki/Chown](https://en.wikipedia.org/wiki/Chown)
Para obter mais informações sobre como registrar um nome de domínio para o servidor web ou transferir um nome de domínio existente para este host, consulte [Como criar e migrar domínios e subdomínios para o Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-migrating.html) no *Guia do desenvolvedor do Amazon Route 53*.
# Tutorial: Configurar SSL/TLS em AL2
Secure Layer/Transport Sockets Layer Security (SSL/TLS) creates an encrypted channel between a web server and web client that protects data in transit from being eavesdropped on. This tutorial explains how to add support manually for SSL/TLSem uma instância EC2 com AL2 um servidor web Apache). Este tutorial pressupõe que você não esteja usando um balanceador de carga. Se você estiver usando Elastic Load Balancing, poderá optar por configurar o descarregamento do SSL no balanceador de carga, usando, em vez disso, um certificado do [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
Por motivos históricos, a criptografia na Web é conhecida simplesmente como SSL. Embora navegadores da web ainda ofereçam suporte a SSL, o protocolo sucessor TLS é menos vulnerável a ataques. O AL2 desabilita o suporte do servidor para todas as versões do SSL por padrão. [Órgãos de normas de segurança](https://www.ssl.com/article/deprecating-early-tls/) consideram o TLS 1.0 não seguro. O TLS 1.0 e TLS 1.1 foram formalmente [preteridos](https://datatracker.ietf.org/doc/rfc8996/) em março de 2021. Este tutorial contém orientações baseadas exclusivamente na ativação do TLS 1.2. O TLS 1.3 foi finalizado em 2018 e está disponível AL2 desde que a biblioteca TLS subjacente (OpenSSL neste tutorial) seja suportada e habilitada. [Os clientes devem ser compatíveis com o TLS 1.2 ou posterior até 28 de junho de 2023](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Para obter mais informações sobre os padrões de criptografia atualizados, consulte [RFC 7568](https://tools.ietf.org/html/rfc7568) e [RFC 8446](https://tools.ietf.org/html/rfc8446).
Este tutorial refere-se à criptografia da Web moderna simplesmente como TLS.
**Importante**
Esses procedimentos são destinados ao uso com AL2. Também supomos que você esteja começando com uma nova instância do Amazon EC2. Se você estiver tentando configurar uma instância do EC2 executando uma distribuição diferente ou uma instância executando uma versão antiga do AL2, alguns procedimentos deste tutorial podem não funcionar. Para o Ubuntu, consulte a seguinte documentação da comunidade: [Open SSL on Ubuntu](https://help.ubuntu.com/community/OpenSSL) (Open SSL no Ubuntu). Para o Red Hat Enterprise Linux, consulte: [Como configurar o Servidor Web Apache HTTP](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/deploying_different_types_of_servers/setting-apache-http-server_deploying-different-types-of-servers). Para outras distribuições, consulte a documentação específica.
**nota**
Como alternativa, você pode usar o AWS Certificate Manager (ACM) para enclaves AWS Nitro, que é um aplicativo de enclave que permite usar SSL/TLS certificados públicos e privados com seus aplicativos e servidores web em execução em instâncias do Amazon EC2 com o Nitro Enclaves. AWS O Nitro Enclaves é um recurso do Amazon EC2 que permite a criação de ambientes computacionais isolados para proteger e processar com segurança dados altamente confidenciais, como certificados e chaves privadas. SSL/TLS
O ACM for Nitro Enclaves funciona com **nginx** em execução em sua instância do Linux do Amazon EC2 para criar chaves privadas, distribuir certificados e chaves privadas, além de gerenciar renovações de certificados.
Para usar o ACM for Nitro Enclaves, é necessário usar uma instância do Linux habilitada para enclave.
Para obter mais informações, consulte [O que são AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html)? e [AWS Certificate Manager para Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-refapp.html) no Guia do usuário do *AWS Nitro* Enclaves.
**Topics**
+ [Pré-requisitos](#ssl_prereq)
+ [Etapa 1: habilitar o TLS no servidor](#ssl_enable)
+ [Etapa 2: obter um certificado assinado por uma CA](#ssl_certificate)
+ [Etapa 3: testar e intensificar a configuração de segurança](#ssl_test)
+ [Solução de problemas](#troubleshooting)
## Pré-requisitos
Antes de começar este tutorial, conclua as seguintes etapas:
+ Inicie uma AL2 instância com suporte do Amazon EBS. Para obter mais informações, consulte [Executar uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html) no *Guia do usuário do Amazon EC2*.
+ Configure seus grupos de segurança para permitir que sua instância aceite conexões nas seguintes portas TCP:
+ SSH (porta 22)
+ HTTP (porta 80)
+ HTTPS (porta 443)
Consulte mais informações em [Regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) no *Guia do usuário do Amazon EC2*.
+ Instale o servidor Web Apache. Para step-by-step obter instruções, consulte [Tutorial: Instalar um servidor Web LAMP em AL2](ec2-lamp-amazon-linux-2.md). Somente o pacote httpd e suas dependências são necessários e, portanto, você pode ignorar as instruções que envolvem PHP e MariaDB.
+ Para identificar e autenticar sites, a infraestrutura de chave pública (PKI) do TLS depende do Sistema de Nomes de Domínio (DNS). Para usar sua instância do EC2 para hospedar um site público, você precisará registrar um nome de domínio para seu servidor da Web ou transferir um nome de domínio existente para o host do Amazon EC2. Há vários serviços de registro de domínio e de hospedagem DNS de terceiros disponíveis para isso, ou você pode usar o [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html).
## Etapa 1: habilitar o TLS no servidor
**Opção: concluir este tutorial usando a automação**
Para concluir este tutorial usando a AWS Systems Manager automação em vez das tarefas a seguir, execute o [documento de automação](https://console.aws.amazon.com/systems-manager/documents/AWSDocs-Configure-SSL-TLS-AL2/).
Esse procedimento conduz você pelo processo de configuração do TLS AL2 com um certificado digital autoassinado.
**nota**
Um certificado autoassinado é aceitável para testes, mas não para produção. Quando você expõe seu certificado autoassinado na Internet, os visitantes de seu site recebem avisos de segurança.
**Para habilitar o TLS em um servidor**
1. [Conecte-se à sua instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html) e confirme se o Apache está em execução.
```
[ec2-user ~]$ sudo systemctl is-enabled httpd
```
Se o valor retornado não for "habilitado", inicie o Apache e configure-o para iniciar sempre que o sistema for inicializado.
```
[ec2-user ~]$ sudo systemctl start httpd && sudo systemctl enable httpd
```
1. Para garantir que todos os pacotes de software estejam atualizados, execute uma atualização rápida de software em sua instância. Esse processo pode levar alguns minutos, mas é importante ter certeza de que você tem as atualizações de segurança e correções de bug mais recentes.
**nota**
A opção `-y` instala as atualizações sem solicitar confirmação. Para examinar as atualizações antes da instalação, você pode omitir essa opção.
```
[ec2-user ~]$ sudo yum update -y
```
1. Agora que sua instância está atualizada, adicione o suporte ao TLS instalando o módulo `mod_ssl` do Apache.
```
[ec2-user ~]$ sudo yum install -y mod_ssl
```
Sua instância agora possui os seguintes arquivos que você usará para configurar seu servidor seguro e criar um certificado para teste:
+ `/etc/httpd/conf.d/ssl.conf`
O arquivo de configuração para mod\$1ssl. Contém as *diretrizes* que informam ao Apache onde encontrar chaves de criptografia e certificados, as versões do protocolo TLS a serem permitidas e as cifras de criptografia a serem aceitas.
+ `/etc/pki/tls/certs/make-dummy-cert`
Um script para gerar um certificado X.509 autoassinado e uma chave privada para o seu host de servidor. Esse certificado é útil para testar se o Apache está configurado corretamente para usar o TLS. Como não oferece prova de identidade, ele não deve ser usado na produção. Caso contrário, avisos nos navegadores da Web serão exibidos.
1. Execute o script para gerar um certificado fictício autoassinado e uma chave para teste.
```
[ec2-user ~]$ cd /etc/pki/tls/certs
sudo ./make-dummy-cert localhost.crt
```
Isso gera um novo arquivo `localhost.crt` no diretório `/etc/pki/tls/certs/`. O nome do arquivo especificado corresponde ao padrão atribuído na diretiva **SSLCertificateFile** em `/etc/httpd/conf.d/ssl.conf`.
Esse arquivo contém um certificado autoassinado e a chave privada do certificado. O Apache requer que o certificado e a chave estejam no formato PEM, que consiste em caracteres ASCII codificados em Base64 enquadrados pelas linhas "BEGIN" e "END", como neste exemplo.
```
-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQD2KKx/8Zk94m1q
3gQMZF9ZN66Ls19+3tHAgQ5Fpo9KJDhzLjOOCI8u1PTcGmAah5kEitCEc0wzmNeo
BCl0wYR6G0rGaKtK9Dn7CuIjvubtUysVyQoMVPQ97ldeakHWeRMiEJFXg6kZZ0vr
GvwnKoMh3DlK44D9dX7IDua2PlYx5+eroA+1Lqf32ZSaAO0bBIMIYTHigwbHMZoT
...
56tE7THvH7vOEf4/iUOsIrEzaMaJ0mqkmY1A70qQGQKBgBF3H1qNRNHuyMcPODFs
27hDzPDinrquSEvoZIggkDMlh2irTiipJ/GhkvTpoQlv0fK/VXw8vSgeaBuhwJvS
LXU9HvYq0U6O4FgD3nAyB9hI0BE13r1HjUvbjT7moH+RhnNz6eqqdscCS09VtRAo
4QQvAqOa8UheYeoXLdWcHaLP
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIEazCCA1OgAwIBAgICWxQwDQYJKoZIhvcNAQELBQAwgbExCzAJBgNVBAYTAi0t
MRIwEAYDVQQIDAlTb21lU3RhdGUxETAPBgNVBAcMCFNvbWVDaXR5MRkwFwYDVQQK
DBBTb21lT3JnYW5pemF0aW9uMR8wHQYDVQQLDBZTb21lT3JnYW5pemF0aW9uYWxV
bml0MRkwFwYDVQQDDBBpcC0xNzItMzEtMjAtMjM2MSQwIgYJKoZIhvcNAQkBFhVy
...
z5rRUE/XzxRLBZOoWZpNWTXJkQ3uFYH6s/sBwtHpKKZMzOvDedREjNKAvk4ws6F0
CuIjvubtUysVyQoMVPQ97ldeakHWeRMiEJFXg6kZZ0vrGvwnKoMh3DlK44D9dlU3
WanXWehT6FiSZvB4sTEXXJN2jdw8g+sHGnZ8zCOsclknYhHrCVD2vnBlZJKSZvak
3ZazhBxtQSukFMOnWPP2a0DMMFGYUHOd0BQE8sBJxg==
-----END CERTIFICATE-----
```
Os nomes de arquivos e as extensões são uma conveniência e não têm efeito na função. Por exemplo, você pode chamar um certificado de `cert.crt`, `cert.pem` ou de um outro nome de arquivo qualquer, desde que a diretiva relacionada no arquivo `ssl.conf` use o mesmo nome.
**nota**
Ao substituir os arquivos TLS padrão por seus próprios arquivos personalizados, verifique se eles estão no formato PEM.
1. Abra o arquivo `/etc/httpd/conf.d/ssl.conf` usando seu editor de texto preferido (como o **vim** ou o **nano**) como usuário raiz e comente a seguinte linha: porque o certificado fictício autoassinado também contém a chave. Se você não assinalar o comentário desta linha antes de concluir a próxima etapa, o serviço do Apache não conseguirá ser iniciado.
```
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
1. Reinicie o Apache.
```
[ec2-user ~]$ sudo systemctl restart httpd
```
**nota**
Verifique se a porta TCP 443 está acessível em sua instância do EC2, conforme descrito anteriormente.
1. Seu servidor da Web do Apache agora deve oferecer suporte a HTTPS (HTTP seguro) por meio da porta 443. Teste-o digitando o endereço IP ou o nome do domínio totalmente qualificado de sua instância do EC2 em uma barra de URL de um navegador com o prefixo **https://**.
Como você está se conectando a um site com um certificado de host autoassinado não confiável, o navegador poderá exibir uma série de avisos de segurança. Ignore os avisos e continue para o site.
Se a página de teste padrão do Apache for aberta, a configuração do TLS no servidor estará correta. Todos os dados que passam entre o navegador e o servidor agora estão criptografados.
**nota**
Para impedir que os visitantes do site encontrem telas de avisos, você precisa obter um certificado assinado por uma CA confiável que, além de criptografar, também autentique você publicamente como o proprietário do site.
## Etapa 2: obter um certificado assinado por uma CA
Você pode seguir este processo para obter um certificado assinado por uma CA:
+ Gere uma solicitação de assinatura de certificado (CSR) a partir de uma chave privada
+ Enviar a CSR para uma autoridade de certificação (CA)
+ Obtenha um certificado de host assinado
+ Configure o Apache para usá-lo
Um certificado de host TLS X.509 autoassinado é idêntico em termos criptológicos a um certificado assinado por uma CA. A diferença é social, não matemática. Uma CA promete validar, no mínimo, a propriedade de um domínio antes de emitir um certificado para um candidato. Cada navegador da Web contém uma lista de CAs informações confiáveis do fornecedor do navegador para fazer isso. Primariamente, um certificado X.509 consiste em uma chave pública, que corresponde à chave privada do servidor, e uma assinatura pela CA que é vinculada criptograficamente à chave pública. Quando um navegador se conecta a um servidor web via HTTPS, o servidor apresenta um certificado para o navegador verificar sua lista de confiáveis CAs. Se o assinante estiver na lista ou for acessível por meio de uma *cadeia de confiança* que consiste em outros assinantes confiáveis, o navegador negociará um canal rápido de dados criptografados com o servidor e carregará a página.
Geralmente, os certificados são caros devido ao trabalho envolvido na validação das solicitações, portanto, vale a pena comparar os preços. Alguns CAs oferecem certificados de nível básico gratuitamente. O mais notável deles CAs é o projeto [Let's Encrypt](https://letsencrypt.org/), que também suporta a automação do processo de criação e renovação de certificados. Para obter mais informações sobre como usar um certificado Let’s Encrypt, consulte [Obtenção do Certbot](https://eff-certbot.readthedocs.io/en/stable/install.html).
Se você planeja oferecer serviços de nível comercial, o [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) é uma boa opção.
É importante ter um certificado de host subjacente. Desde 2019, grupos [governamentais](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4.pdf) e do [setor](https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.6.5.pdf) recomendam usar um tamanho de chave (módulo) mínimo de 2.048 bits para chaves de RSA para a proteção de documentos até 2030. O tamanho do módulo padrão gerado pelo OpenSSL AL2 in é de 2048 bits, o que é adequado para uso em um certificado assinado pela CA. No procedimento a seguir, uma etapa opcional é fornecida para aqueles que desejam uma chave personalizada, por exemplo, uma com módulo maior ou que usa um algoritmo diferente de criptografia.
**Importante**
As instruções para adquirir certificados de host assinados pela CA não funcionarão, a menos que você possua um domínio DNS registrado e hospedado.
**Para obter um certificado assinado por uma CA**
1. [Conecte-se](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html) à sua instância e navegue até/etc/pki/tls/private/. Este é o diretório onde você armazenará a chave privada do servidor para TLS. Se você preferir usar uma chave de host existente para gerar a CSR, vá para a Etapa 3.
1. (Opcional) Gerar uma nova chave privada. Estes são alguns exemplos de configurações de chave. Qualquer uma das chaves resultantes funciona com seu servidor Web, mas elas variam no grau e no tipo de segurança que elas implementam.
+ **Exemplo 1:** criar uma chave host de RSA padrão. O arquivo resultante, **custom.key**, é uma chave privada de RSA de 2048 bits.
```
[ec2-user ~]$ sudo openssl genrsa -out custom.key
```
+ **Exemplo 2:** criar uma chave de RSA mais forte com um módulo maior. O arquivo resultante, **custom.key**, é uma chave privada de RSA de 4096 bits.
```
[ec2-user ~]$ sudo openssl genrsa -out custom.key 4096
```
+ **Exemplo 3:** criar uma chave de RSA de 4096 bits criptografada com proteção por senha. O arquivo resultante, **custom.key**, é uma chave privada de RSA de 4096 bits criptografada com a cifra AES-128.
**Importante**
A criptografia da chave fornece maior segurança, mas como uma chave criptografada requer uma senha, os serviços que dependem dela não podem ser iniciados automaticamente. Sempre que usar essa chave, você precisará fornecer a senha (no exemplo anterior, "abcde12345") por meio de uma conexão SSH.
```
[ec2-user ~]$ sudo openssl genrsa -aes128 -passout pass:abcde12345 -out custom.key 4096
```
+ **Exemplo 4:** criar uma chave usando uma cifra não RSA. A criptografia RSA pode ser relativamente devagar devido ao tamanho de suas chaves públicas, que são baseadas no produto de dois números primos grandes. No entanto, é possível criar chaves para TLS que usam códigos não RSA. As chaves baseadas em matemática de curvas elípticas são menores e computacionalmente mais rápidas para fornecer um nível de segurança equivalente.
```
[ec2-user ~]$ sudo openssl ecparam -name prime256v1 -out custom.key -genkey
```
O resultado é uma chave privada de curva elíptica de 256 bits que usa prime256v1, uma "curva nomeada" compatível com OpenSSL. A força de criptografia é um pouco maior que uma chave de RSA de 2048 bits, [de acordo com o NIST](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4.pdf).
**nota**
Nem todos CAs oferecem o mesmo nível de suporte para elliptic-curve-based chaves que para chaves RSA.
Certifique-se de que a nova chave privada tenha propriedade e permissões altamente restritivas (owner=root, group=root, somente para o proprietário). read/write O comando será o mostrado no exemplo a seguir.
```
[ec2-user ~]$ sudo chown root:root custom.key
[ec2-user ~]$ sudo chmod 600 custom.key
[ec2-user ~]$ ls -al custom.key
```
Os comandos anteriores produzem o resultado a seguir.
```
-rw------- root root custom.key
```
Depois de criar e configurar uma chave satisfatória, você pode criar uma CSR.
1. Crie uma CSR usando sua chave preferida. O exemplo a seguir usa **custom.key**.
```
[ec2-user ~]$ sudo openssl req -new -key custom.key -out csr.pem
```
A OpenSSL abre uma caixa de diálogo e solicita a informação exibida na tabela a seguir. Todos os campos, exceto **Common Name (Nome comum)**, são opcionais para um certificado de host básico validado por domínio.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/linux/al2/ug/SSL-on-amazon-linux-2.html)
Finalmente, a OpenSSL solicita uma senha de desafio opcional. Essa senha se aplica somente à CSR e às transações entre você e sua CA, portanto, siga as recomendações da CA sobre este e o outro campo opcional, nome da empresa opcional. A senha de desafio da CSR não tem nenhum efeito sobre a operação do servidor.
O arquivo resultante **csr.pem** contém sua chave pública, a assinatura digital de sua chave pública e os metadados que você inseriu.
1. Envie a CSR a uma CA. Geralmente, isso consiste em abrir seu arquivo de CSR em um editor de texto e copiar o conteúdo em um formulário da Web. No momento, você pode ser solicitado a fornecer um ou mais nomes alternativos de assunto (SANs) para serem colocados no certificado. Se **www.example.com** for o nome comum, **example.com** seria um bom SAN e vice-versa. Um visitante de seu site que digitar qualquer um desses nomes verá uma conexão livre de erros. Se o formulário web da CA permitir, inclua o nome comum na lista de SANs. Alguns o CAs incluem automaticamente.
Depois que sua solicitação é aprovada, você recebe um novo certificado de host assinado pela CA. Você também pode receber uma instrução para fazer download de um arquivo de *certificado intermediário* que contém os certificados adicionais necessários para concluir a cadeia de confiança da CA.
**nota**
Sua CA pode enviar a você arquivos em vários formatos com várias finalidades. Para este tutorial, você deve usar apenas um arquivo de certificado em formato PEM, que geralmente (mas nem sempre) é identificado por uma extensão de arquivo `.pem` ou `.crt`. Se você não tiver certeza sobre qual arquivo usar, abra os arquivos com um editor de texto e localize um que contenha um ou mais blocos com a linha a seguir.
```
- - - - -BEGIN CERTIFICATE - - - - -
```
O arquivo também deve terminar com a linha a seguir.
```
- - - -END CERTIFICATE - - - - -
```
Você também pode testar um arquivo na linha de comando da forma a seguir.
```
[ec2-user certs]$ openssl x509 -in certificate.crt -text
```
Verifique se as linhas aparecem no arquivo. Não use os arquivos que terminam com `.p7b`, `.p7c` ou extensões de arquivo semelhantes.
1. Coloque o novo certificado assinado pela CA e quaisquer certificados intermediários no diretório `/etc/pki/tls/certs`.
**nota**
Há várias maneiras para fazer upload do novo certificado para a instância do EC2, mas a maneira mais simples e informativa é abrir um editor de texto (vi, nano, bloco de notas etc.) no seu computador local e na sua instância e, em seguida, copiar e colar os conteúdos do arquivo entre eles. Você precisa de permissões raiz [sudo] ao realizar essas operações na instância do EC2. Dessa forma, você vê imediatamente se há algum problema de permissão ou de caminho. No entanto, tenha cuidado para não adicionar mais linhas ao copiar o conteúdo ou ao alterá-lo de alguma maneira.
De dentro do `/etc/pki/tls/certs` diretório, verifique se as configurações de propriedade, grupo e permissão do arquivo correspondem aos AL2 padrões altamente restritivos (owner=root, group=root, somente para proprietário). read/write O exemplo a seguir mostra os comandos a serem usados.
```
[ec2-user certs]$ sudo chown root:root custom.crt
[ec2-user certs]$ sudo chmod 600 custom.crt
[ec2-user certs]$ ls -al custom.crt
```
Esses comandos devem produzir o resultado a seguir.
```
-rw------- root root custom.crt
```
As permissões para o arquivo de certificado intermediário são menos estritas (owner=root, group=root, proprietário pode gravar, grupo pode ler, mundo pode ler). O exemplo a seguir mostra os comandos a serem usados.
```
[ec2-user certs]$ sudo chown root:root intermediate.crt
[ec2-user certs]$ sudo chmod 644 intermediate.crt
[ec2-user certs]$ ls -al intermediate.crt
```
Esses comandos devem produzir o resultado a seguir.
```
-rw-r--r-- root root intermediate.crt
```
1. Coloque a chave privada que você usou para criar o CSR no diretório `/etc/pki/tls/private/`.
**nota**
Há várias maneiras para fazer upload da chave personalizada para a instância do EC2, mas a maneira mais simples e informativa é abrir um editor de texto (vi, nano, bloco de notas etc.) no seu computador local e na sua instância e, em seguida, copiar e colar os conteúdos do arquivo entre eles. Você precisa de permissões raiz [sudo] ao realizar essas operações na instância do EC2. Dessa forma, você vê imediatamente se há algum problema de permissão ou de caminho. No entanto, tenha cuidado para não adicionar mais linhas ao copiar o conteúdo ou ao alterá-lo de alguma maneira.
De dentro do `/etc/pki/tls/private` diretório, use os comandos a seguir para verificar se as configurações de propriedade, grupo e permissão do arquivo correspondem aos AL2 padrões altamente restritivos (owner=root, group=root, somente para proprietário). read/write
```
[ec2-user private]$ sudo chown root:root custom.key
[ec2-user private]$ sudo chmod 600 custom.key
[ec2-user private]$ ls -al custom.key
```
Esses comandos devem produzir o resultado a seguir.
```
-rw------- root root custom.key
```
1. Edite `/etc/httpd/conf.d/ssl.conf` para refletir seu novo certificado e arquivos de chave.
1. Forneça o caminho e o nome do arquivo do certificado de host assinado por CA na diretiva `SSLCertificateFile` do Apache:
```
SSLCertificateFile /etc/pki/tls/certs/custom.crt
```
1. Se você receber um arquivo de certificado intermediário (`intermediate.crt` neste exemplo), forneça o caminho e o nome do arquivo usando a diretiva `SSLCACertificateFile` do Apache:
```
SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt
```
**nota**
Alguns CAs combinam o certificado do host e os certificados intermediários em um único arquivo, tornando a `SSLCACertificateFile` diretiva desnecessária. Consulte as instruções fornecidas pela CA.
1. Forneça o caminho e o nome do arquivo da chave privada (`custom.key` neste exemplo) na diretiva `SSLCertificateKeyFile` do Apache:
```
SSLCertificateKeyFile /etc/pki/tls/private/custom.key
```
1. Salve o `/etc/httpd/conf.d/ssl.conf` e reinicie o Apache.
```
[ec2-user ~]$ sudo systemctl restart httpd
```
1. Teste seu servidor inserindo seu nome de domínio em uma barra de URL do navegador com o prefixo `https://`. Seu navegador deve carregar a página de teste via HTTPS sem gerar erros.
## Etapa 3: testar e intensificar a configuração de segurança
Depois que o SSL/TLS estiver operacional e exposto ao público, você precisará testar se ele é realmente seguro. É fácil fazer isso usando serviços online, como o [Qualys SSL Labs](https://www.ssllabs.com/ssltest/analyze.html) que executa uma análise completa e gratuita de sua configuração de segurança. Com base nos resultados, você pode decidir intensificar a configuração de segurança padrão controlando quais protocolos você aceita, quais cifras você prefere e quais você exclui. Para obter mais informações, consulte [como a Qualys formula suas pontuações](https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide).
**Importante**
Os testes no mundo real são cruciais para a segurança do servidor. Pequenos erros de configuração podem resultar em rupturas de segurança sérias e em perda de dados. Como as práticas de segurança recomendadas são alteradas constantemente em resposta a pesquisas e a ameaças emergentes, auditorias periódicas da segurança são essenciais para uma boa administração do servidor.
No site [Qualys SSL Labs](https://www.ssllabs.com/ssltest/analyze.html), digite o nome do domínio totalmente qualificado de seu servidor no formato **www.example.com**. Depois de dois minutos, você recebe uma classificação (de A a F) para seu site e um detalhamento dos resultados. A tabela a seguir resume o relatório de um domínio com configurações idênticas à configuração padrão do Apache ativada e com um certificado padrão do Certbot. AL2
| | |
| --- |--- |
| Classificação geral | B |
| Certificado | 100% |
| Suporte ao protocolo | 95% |
| Troca de chaves | 70% |
| Intensidade da cifra | 90% |
Embora a visão geral mostre que a configuração é mais sólida, o relatório detalhado sinaliza vários possíveis problemas, listados aqui em ordem de gravidade:
✗ **A RC4 cifra é compatível com o uso de alguns navegadores mais antigos**. Uma cifra é o núcleo matemático de um algoritmo de criptografia. RC4[, uma cifra rápida usada para criptografar fluxos de dados TLS, é conhecida por ter várias fraquezas graves.](http://www.imperva.com/docs/hii_attacking_ssl_when_using_rc4.pdf) A menos que você tenha boas razões para oferecer suporte a navegadores legados, você deve desabilitar isso.
✗ **Versões antigas do TLS são compatíveis.** A configuração é compatível com o TLS 1.0 (já obsoleto) e o TLS 1.1 (em um caminho para a reprovação). Apenas o TLS 1.2 é recomendado desde 2018.
✗ **O sigilo de encaminhamento não é totalmente compatível.** O [sigilo encaminhado](https://en.wikipedia.org/wiki/Forward_secrecy) é um recurso de algoritmos que criptografam usando chaves de sessão temporárias (efêmeras) derivadas da chave privada. Na prática, isso significa que os atacantes não podem descriptografar dados HTTPS mesmo que tenham a chave privada de longo prazo de um servidor Web.
**Para corrigir e preparar futuramente a configuração do TLS**
1. Abra o arquivo de configuração `/etc/httpd/conf.d/ssl.conf` em um editor de texto e comente as seguintes linhas digitando “\$1” no início delas.
```
#SSLProtocol all -SSLv3
```
1. Adicione a seguinte diretiva:
```
#SSLProtocol all -SSLv3
SSLProtocol -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2
```
Essa diretiva desabilita explicitamente as versões 2 e 3 do SSL, bem como as versões 1.0 e 1.1 do TLS. O servidor agora se recusa a aceitar conexões criptografadas com clientes que não estejam usando o TLS 1.2. A expressão detalhada na diretriz transmite mais claramente, para um leitor humano, para que o servidor está configurado.
**nota**
Desabilitar as versões 1.0 e 1.1 do TLS dessa forma bloqueia o acesso ao seu site de uma pequena porcentagem de navegadores da Web desatualizados.
**Para modificar a lista de cifras permitidas**
1. No arquivo de configuração `/etc/httpd/conf.d/ssl.conf`, localize a seção com a diretiva **SSLCipherSuite** e comente a linha existente ao inserir "\$1" no início dela.
```
#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
```
1. Especifique conjuntos de criptografia explícitos e uma ordem de cifra que priorize o sigilo antecipado e evite cifras inseguras. A diretiva `SSLCipherSuite` usada aqui é baseada na saída do [gerador de configuração SSL do Mozilla](https://mozilla.github.io/server-side-tls/ssl-config-generator/), que adapta uma configuração TLS ao software específico em execução no seu servidor. Primeiro, determine suas versões do Apache e do OpenSSL usando os comandos a seguir.
```
[ec2-user ~]$ yum list installed | grep httpd
[ec2-user ~]$ yum list installed | grep openssl
```
Por exemplo, se a informação exibida for Apache 2.4.34 e OpenSSL 1.0.2, insira esses valores no gerador. Se você escolher o modelo de compatibilidade "moderno", isso criará uma diretiva `SSLCipherSuite` que impõe a segurança de forma agressiva, mas ainda funciona para a maioria dos navegadores. Se o software não oferecer suporte à configuração moderna, você poderá atualizá-lo ou escolher a configuração "intermediária".
```
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:
ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
```
As cifras selecionadas têm *ECDHE* em seus nomes, o que significa *Elliptic Curve Diffie-Hellman Ephemeral (Curva elíptica de Diffie-Hellman efêmera)*. O termo *ephemeral (efêmera)* indica forward secrecy. Como subproduto, essas cifras não são compatíveis. RC4
Recomendamos que você use uma lista explícita de cifras em vez de confiar em padrões ou em diretrizes concisas cujo conteúdo não é visível.
Copie a diretiva gerada em `/etc/httpd/conf.d/ssl.conf`.
**nota**
Embora sejam mostradas em várias linhas aqui para facilitar a leitura, a diretriz deve estar em uma única linha quando copiada para `/etc/httpd/conf.d/ssl.conf` com apenas dois pontos (sem espaços) entre os nomes das cifras.
1. Por fim, remova o comentário da linha a seguir, excluindo o "\$1" no início dela.
```
#SSLHonorCipherOrder on
```
Essa diretriz força o servidor a preferir cifras de alta classificação incluindo (neste caso) aquelas que oferecem suporte a forward secrecy. Com essa diretriz ativada, o servidor tenta estabelecer uma conexão altamente segura antes de voltar a usar cifras permitidas com menos segurança.
Depois de concluir esses dois procedimentos, salve as alterações em `/etc/httpd/conf.d/ssl.conf` e reinicie o Apache.
Se você testar o domínio novamente no [Qualys SSL Labs](https://www.ssllabs.com/ssltest/analyze.html), verá que a RC4 vulnerabilidade e outros avisos desapareceram e que o resumo se parece com o seguinte.
| | |
| --- |--- |
| Classificação geral | A |
| Certificado | 100% |
| Suporte ao protocolo | 100% |
| Troca de chaves | 90% |
| Intensidade da cifra | 90% |
Cada atualização do OpenSSL apresenta novas cifras e retira o suporte às cifras antigas. Mantenha sua AL2 instância EC2 up-to-date, fique atento aos anúncios de segurança do [OpenSSL](https://www.openssl.org/) e fique atento às denúncias de novas falhas de segurança na imprensa técnica.
## Solução de problemas
+ **Meu servidor da web do Apache não inicia, a menos que eu digite uma senha.**
Esse é comportamento esperado se você tiver instalado uma chave privada de servidor criptografada e protegida por senha.
Você pode remover a criptografia e a solicitação de senha da chave. Supondo que você tenha uma chave de RSA privada criptografada chamada `custom.key` no diretório padrão, e que a senha seja **abcde12345**, execute os comandos a seguir na sua instância do EC2 para gerar uma versão descriptografada da chave:
```
[ec2-user ~]$ cd /etc/pki/tls/private/
[ec2-user private]$ sudo cp custom.key custom.key.bak
[ec2-user private]$ sudo openssl rsa -in custom.key -passin pass:abcde12345 -out custom.key.nocrypt
[ec2-user private]$ sudo mv custom.key.nocrypt custom.key
[ec2-user private]$ sudo chown root:root custom.key
[ec2-user private]$ sudo chmod 600 custom.key
[ec2-user private]$ sudo systemctl restart httpd
```
O Apache agora deve iniciar sem solicitar uma senha a você.
+ **Obtenho erros ao executar sudo yum install -y mod\$1ssl.**
Quando estiver instalando os pacotes necessários para SSL, você verá erros como os exibidos a seguir.
```
Error: httpd24-tools conflicts with httpd-tools-2.2.34-1.16.amzn1.x86_64
Error: httpd24 conflicts with httpd-2.2.34-1.16.amzn1.x86_64
```
Isso normalmente significa que sua instância do EC2 não está em execução AL2. Este tutorial comporta somente instâncias recentemente criadas em uma AMI oficial do AL2.
# Tutorial: hospede um WordPress blog no AL2
Os procedimentos a seguir ajudarão você a instalar, configurar e proteger um WordPress blog na sua instância do AL2. Este tutorial é uma boa introdução ao uso do Amazon EC2, pois você tem controle total sobre um servidor web que hospeda seu WordPress blog, o que não é típico de um serviço de hospedagem tradicional.
Você é responsável para atualizar os pacotes de software e manter os patches de segurança para seu servidor. Para uma WordPress instalação mais automatizada que não exija interação direta com a configuração do servidor web, o CloudFormation serviço fornece um WordPress modelo que também pode ajudar você a começar rapidamente. Para mais informações, consulte [Get started](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/GettingStarted.Walkthrough.html) (Conceitos básicos) no *AWS CloudFormation User Guide* (Guia do usuário do ). *Se você precisar de uma solução de alta disponibilidade com um banco de dados desacoplado, consulte [Implantação de um WordPress site de alta disponibilidade](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/php-hawordpress-tutorial.html) no Guia do desenvolvedor.AWS Elastic Beanstalk *
**Importante**
Esses procedimentos são destinados ao uso com AL2. Para obter mais informações sobre outras distribuições, consulte a documentação específica. Muitas etapas deste tutorial não funcionam em instâncias Ubuntu. Para obter ajuda WordPress na instalação em uma instância do Ubuntu, consulte [WordPress](https://help.ubuntu.com/community/WordPress)a documentação do Ubuntu. Você também pode usar [CodeDeploy](https://docs.aws.amazon.com/codedeploy/latest/userguide/tutorials-wordpress-launch-instance.html)para realizar essa tarefa nos sistemas Amazon Linux, macOS ou Unix.
**Topics**
+ [Pré-requisitos](#hosting-wordpress-prereqs)
+ [Instalar WordPress](#install-wordpress)
+ [Próximas etapas](#wordpress-next-steps)
+ [Ajuda\$1 Meu nome DNS público mudou e agora meu blog não está funcionando](#wordpress-troubleshooting)
## Pré-requisitos
Este tutorial pressupõe que você tenha iniciado uma AL2 instância com um servidor web funcional com suporte a PHP e banco de dados (MySQL ou MariaDB) seguindo todas as etapas descritas. [Tutorial: Instalar um servidor LAMP em AL2](ec2-lamp-amazon-linux-2.md) Este tutorial tem também etapas para configurar um security group para permitir tráfego de `HTTP` e `HTTPS`, bem como várias etapas para garantir que as permissões de arquivos sejam definidas corretamente para seu servidor web. Para obter informações sobre como adicionar regras aos grupos de segurança, consulte [Add rules to a security group](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule).
É altamente recomendável que você associe um endereço IP elástico (EIP) à instância que você está usando para hospedar um WordPress blog. Isso impede que o endereço DNS público da sua instância mude e quebre sua instalação. Se você tiver um nome de domínio e quiser usá-lo para o blog, pode atualizar o registro DNS do nome de domínio para indicar ao seu endereço EIP (para obter ajuda com isso, contate seu registrador de nome de domínio). Você pode ter um endereço EIP associado a uma instância em execução, gratuitamente. Para obter mais informações, consulte [Endereços IP elásticos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) no *Guia do usuário do Amazon EC2*.
Se você ainda não tiver um nome de domínio para seu blog, pode registrar um nome de domínio com o Route 53 e associar o endereço EIP de sua instância com seu nome de domínio. Para obter mais informações, consulte [Registrar nomes de domínio usando o Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html) no *Guia do desenvolvedor do Amazon Route 53*.
## Instalar WordPress
**Opção: concluir este tutorial usando a automação**
Para concluir este tutorial usando a AWS Systems Manager automação em vez das tarefas a seguir, execute o [documento de automação](https://console.aws.amazon.com/systems-manager/documents/AWSDocs-HostingAWordPressBlog/).
Conecte-se à sua instância e baixe o pacote WordPress de instalação.
**Para baixar e descompactar o pacote WordPress de instalação**
1. Baixe o pacote WordPress de instalação mais recente com o **wget** comando. O comando a seguir sempre deve baixar a versão mais recente.
```
[ec2-user ~]$ wget https://wordpress.org/latest.tar.gz
```
1. Descompacte e desarquive o pacote de instalação. A pasta de instalação é descompactada para uma pasta chamada `wordpress`.
```
[ec2-user ~]$ tar -xzf latest.tar.gz
```
**Para criar um usuário de banco de dados e um banco de dados para sua WordPress instalação**
Sua WordPress instalação precisa armazenar informações, como postagens de blog e comentários de usuários, em um banco de dados. Esse procedimento ajuda você a criar um banco de dados para seu blog e um usuário autorizado a ler e salvar as informações.
1. Inicie o servidor do banco de dados.
+
```
[ec2-user ~]$ sudo systemctl start mariadb
```
1. Faça login no servidor do banco de dados como usuário `root`. Insira a senha de `root` do banco de dados quando solicitado; ela poderá ser diferente da sua senha do sistema de `root` ou poderá até estar vazia, se você não tiver protegido seu servidor do banco de dados.
Se ainda não tiver protegido seu servidor do banco de dados, é muito importante que você faça isso. Para obter mais informações, consulte [Para proteger o servidor MariaDB](ec2-lamp-amazon-linux-2.md#securing-maria-db) (AL2).
```
[ec2-user ~]$ mysql -u root -p
```
1. Crie um usuário e uma senha para seu banco de dados do MySQL. Sua WordPress instalação usa esses valores para se comunicar com seu banco de dados MySQL.
Crie uma senha forte para seu usuário. Não use o caractere de aspa única ( ' ) na sua senha, pois isso quebrará o comando anterior. Não reutilize uma senha existente e armazene essa senha em um lugar seguro.
Digite o comando a seguir, substituindo um nome de usuário e uma senha exclusivos.
```
CREATE USER 'wordpress-user'@'localhost' IDENTIFIED BY 'your_strong_password';
```
1. Crie seu banco de dados. Dê ao seu banco de dados um nome descritivo e significativo, como `wordpress-db`.
**nota**
As marcas de pontuação que cercam o nome do banco de dados no comando abaixo são chamados backticks. A chave de backtick (```) costuma estar localizada acima da chave `Tab` de um teclado padrão. Backticks nem sempre são necessários, mas permitem que você use caracteres de outra forma ilegais, como hífens, no nome dos bancos de dados.
```
CREATE DATABASE `wordpress-db`;
```
1. Conceda privilégios totais do seu banco de dados ao WordPress usuário que você criou anteriormente.
```
GRANT ALL PRIVILEGES ON `wordpress-db`.* TO "wordpress-user"@"localhost";
```
1. Limpe os privilégios do banco de dados para receber todas as suas alterações.
```
FLUSH PRIVILEGES;
```
1. Saia do cliente `mysql`.
```
exit
```
**Para criar e editar o arquivo wp-config.php**
A pasta WordPress de instalação contém um exemplo de arquivo de configuração chamado`wp-config-sample.php`. Nesse procedimento, você copia esse arquivo e o edita para caber na sua configuração específica.
1. Copie o arquivo `wp-config-sample.php` para um arquivo chamado `wp-config.php`. Isso cria um novo arquivo de configuração e mantém o arquivo de exemplo original intacto como um backup.
```
[ec2-user ~]$ cp wordpress/wp-config-sample.php wordpress/wp-config.php
```
1. Edite o arquivo `wp-config.php` com seu editor de texto favorito (como o **nano** ou o **vim**) e insira os valores da instalação. Se você não tiver um editor de texto favorito, o `nano` é ideal para iniciantes.
```
[ec2-user ~]$ nano wordpress/wp-config.php
```
1. Encontre a linha que define `DB_NAME` e altere `database_name_here` para o nome do banco de dados criado em [Step 4](#create_database) de [Para criar um usuário de banco de dados e um banco de dados para sua WordPress instalação](#create_user_and_database).
```
define('DB_NAME', 'wordpress-db');
```
1. Encontre a linha que define `DB_USER` e altere `username_here` para o usuário do banco de dados que você criou [Step 3](#create_database_user) de [Para criar um usuário de banco de dados e um banco de dados para sua WordPress instalação](#create_user_and_database).
```
define('DB_USER', 'wordpress-user');
```
1. Encontre a linha que define `DB_PASSWORD` e altere `password_here` para a senha mais forte que você criou em [Step 3](#create_database_user) de [Para criar um usuário de banco de dados e um banco de dados para sua WordPress instalação](#create_user_and_database).
```
define('DB_PASSWORD', 'your_strong_password');
```
1. Encontre a seção chamada `Authentication Unique Keys and Salts`. Esses `SALT` valores `KEY` e esses fornecem uma camada de criptografia aos cookies do navegador que WordPress os usuários armazenam em suas máquinas locais. Basicamente, adicionar valores longos e aleatórios aqui deixa seu site mais seguro. Visite [https://api.wordpress. org/secret-key/1.1/salt](https://api.wordpress.org/secret-key/1.1/salt/)/para gerar aleatoriamente um conjunto de valores-chave que você pode copiar e colar em seu `wp-config.php` arquivo. Para colar texto em um terminal do PuTTY, coloque o cursor onde deseja colar texto e clique com o botão direito do mouse dentro do terminal do PuTTY.
Para obter mais informações sobre chaves de segurança, acesse [https://wordpress. org/support/article/editing-wp-config-php/\$1security -keys](https://wordpress.org/support/article/editing-wp-config-php/#security-keys).
**nota**
Os valores abaixo são somente para fins de exemplo; não use esses valores para a instalação.
```
define('AUTH_KEY', ' #U$$+[RXN8:b^-L 0(WU_+ c+WFkI~c]o]-bHw+)/Aj[wTwSiZ)Y |;(^[Iw]Pi+LG#A4R?7N`YB3');
define('NONCE_KEY', 'P(g62HeZxEes|LnI^i=H,[XwK9I&[2s|:?0N}VJM%?;v2v]v+;+^9eXUahg@::Cj');
define('AUTH_SALT', 'C$DpB4Hj[JK:?{ql`sRVa:{:7yShy(9A@5wg+`JJVb1fk%_-Bx*M4(qc[Qg%JT!h');
define('SECURE_AUTH_SALT', 'd!uRu#}+q#{f$Z?Z9uFPG.${+S{n~1M&%@~gL>U>NV.|Y%Ug4#I^*LVd9QeZ^&XmK|e(76miC+&W&+^0P/');
define('NONCE_SALT', '-97r*V/cgxLmp?Zy4zUU4r99QQ_rGs2LTd%P;|_e1tS)8_B/,.6[=UK`.
```
#
# Possible values for the Options directive are "None", "All",
# or any combination of:
# Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
#
# Note that "MultiViews" must be named *explicitly* --- "Options All"
# doesn't give it to you.
#
# The Options directive is both complicated and important. Please see
# http://httpd.apache.org/docs/2.4/mod/core.html#options
# for more information.
#
Options Indexes FollowSymLinks
#
# AllowOverride controls what directives may be placed in .htaccess files.
# It can be "All", "None", or any combination of the keywords:
# Options FileInfo AuthConfig Limit
#
AllowOverride None
#
# Controls who can get stuff from this server.
#
Require all granted
```
1. Altere a linha `AllowOverride None` na seção acima para `AllowOverride All`.
**nota**
Há múltiplas linhas `AllowOverride` nesse arquivo; altere a linha na seção ``.
```
AllowOverride All
```
1. Salve o arquivo e saia do seu editor de texto.
**Para instalar a biblioteca de desenhos gráficos PHP em AL2**
A biblioteca de desenhos gráficos para PHP permite modificar imagens. Instale esta biblioteca caso você precise cortar a imagem do cabeçalho do blog. A versão phpMyAdmin que você instala pode exigir uma versão mínima específica dessa biblioteca (por exemplo, versão 7.2).
Use o comando a seguir para instalar a biblioteca de desenhos gráficos PHP em AL2. Por exemplo, se você instalou o php7.2 amazon-linux-extras como parte da instalação da pilha LAMP, esse comando instala a versão 7.2 da biblioteca de desenho gráfico PHP.
```
[ec2-user ~]$ sudo yum install php-gd
```
Para verificar a versão instalada, use o seguinte comando:
```
[ec2-user ~]$ sudo yum list installed php-gd
```
A seguir está um exemplo de saída:
```
php-gd.x86_64 7.2.30-1.amzn2 @amzn2extra-php7.2
```
**Para corrigir as permissões de arquivos para o Apache Web Server**
Alguns dos recursos disponíveis WordPress exigem acesso de gravação à raiz do documento Apache (como o upload de mídia pelas telas de administração). Se você ainda não tiver feito isso, aplique as seguintes associações e permissões de grupo (conforme descrito em mais detalhes no[Tutorial: Instalar um servidor LAMP em AL2](ec2-lamp-amazon-linux-2.md)).
1. Conceda a propriedade do arquivo de `/var/www` e seu conteúdo para o usuário `apache`.
```
[ec2-user ~]$ sudo chown -R apache /var/www
```
1. Conceda a propriedade do grupo do `/var/www` e seu conteúdo para o grupo do `apache`.
```
[ec2-user ~]$ sudo chgrp -R apache /var/www
```
1. Altere as permissões do diretório do `/var/www` e de seus subdiretórios para adicionar permissões de gravação do grupo e definir o ID do grupo em subdiretórios futuros.
```
[ec2-user ~]$ sudo chmod 2775 /var/www
[ec2-user ~]$ find /var/www -type d -exec sudo chmod 2775 {} \;
```
1. Altere recursivamente as permissões de arquivo de `/var/www` e de seus subdiretórios.
```
[ec2-user ~]$ find /var/www -type f -exec sudo chmod 0644 {} \;
```
**nota**
Se você também pretende usar WordPress como servidor FTP, precisará de configurações de grupo mais permissivas aqui. Revise as [etapas recomendadas e as configurações de segurança WordPress](https://wordpress.org/support/article/changing-file-permissions/) para fazer isso.
1. Reinicie o Apache Web Server para pegar o grupo e as permissões novos.
+
```
[ec2-user ~]$ sudo systemctl restart httpd
```
**Execute o script WordPress de instalação com AL2**
Você está pronto para instalar WordPress. Os comandos usados por você dependem do sistema operacional. Os comandos neste procedimento são para uso com AL2.
1. Use o comando **systemctl** para garantir que `httpd` e os serviços do banco de dados sejam iniciados a cada inicialização do sistema.
```
[ec2-user ~]$ sudo systemctl enable httpd && sudo systemctl enable mariadb
```
1. Verifique se o servidor do banco de dados está em execução.
```
[ec2-user ~]$ sudo systemctl status mariadb
```
Se o serviço do banco de dados não está em execução, inicie-o.
```
[ec2-user ~]$ sudo systemctl start mariadb
```
1. Verifique se o Apache Web Server (`httpd`) está sendo executado.
```
[ec2-user ~]$ sudo systemctl status httpd
```
Se o serviço `httpd` não estiver sendo executado, inicie-o.
```
[ec2-user ~]$ sudo systemctl start httpd
```
1. Em um navegador da Web, digite a URL do seu WordPress blog (o endereço DNS público da sua instância ou o endereço seguido pela `blog` pasta). Você deve ver o script WordPress de instalação. Forneça as informações exigidas pela WordPress instalação. Escolha **Instalar WordPress** para concluir a instalação. Para obter mais informações, consulte [Etapa 5: Executar o script de instalação](https://wordpress.org/support/article/how-to-install-wordpress/#step-5-run-the-install-script) no WordPress site.
## Próximas etapas
Depois de testar seu WordPress blog, considere atualizar sua configuração.
**Usar um nome de domínio personalizado**
Se você tiver um nome de domínio associado ao endereço EIP da sua instância do EC2, pode configurar o blog para usar esse nome em vez do endereço DNS público do EC2. Para obter mais informações, consulte [Alterando a URL do WordPress site](https://wordpress.org/support/article/changing-the-site-url/) no site.
**Configurar seu blog**
Você pode configurar seu blog para usar diferentes [temas](https://wordpress.org/themes/) e [plug-ins](https://wordpress.org/plugins/) e oferecer uma experiência mais personalizada para seus leitores. Contudo, às vezes o processo de instalação pode dar errado, fazendo com que você perca o blog inteiro. Recomendamos veementemente que você crie um backup da imagem de máquina da Amazon (AMI) de sua instância antes de tentar instalar quaisquer temas ou plug-ins, de forma que consiga restaurar o blog se algo der errado durante a instalação. Para obter mais informações, consulte [Criar sua própria AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html#creating-an-ami).
**Aumentar a capacidade**
Se seu WordPress blog se tornar popular e você precisar de mais capacidade computacional ou armazenamento, considere as seguintes etapas:
+ Expanda o espaço de armazenamento na sua instância. Para obter mais informações, consulte [Volumes Elásticos do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modify-volume.html) no *Guia do usuário do Amazon EBS*.
+ Mova o banco de dados MySQL para o [Amazon RDS](https://aws.amazon.com/rds) para aproveitar a capacidade de dimensionamento que o serviço oferece.
**Melhore a performance de rede do tráfego da Internet**
Se você espera que seu blog gere tráfego de usuários localizados em todo o mundo, considere o [AWS Global Accelerator](https://aws.amazon.com/global-accelerator). O Global Accelerator ajuda você a obter menor latência melhorando o desempenho do tráfego da Internet entre os dispositivos cliente de seus usuários e seu WordPress aplicativo em execução. AWS O Global Accelerator usa a [rede AWS global](https://aws.amazon.com/about-aws/global-infrastructure/global_network/) para direcionar o tráfego para um endpoint de aplicativo saudável na AWS região mais próxima do cliente.
**Saiba mais sobre WordPress**
Para obter informações sobre WordPress, consulte a documentação de ajuda do WordPress Codex em [http://codex.wordpress.org/](http://codex.wordpress.org/).
Para obter mais informações sobre como solucionar problemas de instalação, consulte [Problemas comuns de instalação](https://wordpress.org/support/article/how-to-install-wordpress/#common-installation-problems).
Para obter informações sobre como tornar seu WordPress blog mais seguro, consulte [Fortalecimento WordPress](https://wordpress.org/support/article/hardening-wordpress/).
Para obter informações sobre como manter seu WordPress blog up-to-date, consulte [Atualização WordPress](https://wordpress.org/support/article/updating-wordpress/).
## Ajuda\$1 Meu nome DNS público mudou e agora meu blog não está funcionando
Sua WordPress instalação é configurada automaticamente usando o endereço DNS público da sua instância EC2. Se você parar e reiniciar a instância, as alterações no endereço DNS público (a menos que estejam associadas a um endereço IP elástico) e seu blog não funcionarão mais, pois ele faz referência a recursos em um endereço que não existe mais (ou é atribuído a outra instância do EC2). Uma descrição mais detalhada do problema e várias soluções possíveis estão descritas em [Alteração do URL do site](https://wordpress.org/support/article/changing-the-site-url/).
Se isso aconteceu com sua WordPress instalação, talvez você consiga recuperar seu blog com o procedimento abaixo, que usa a interface de linha de **wp-cli** comando para WordPress.
**Para alterar o URL WordPress do seu site com o **wp-cli****
1. Conecte-se à sua instância do EC2 com SSH.
1. Anote o URL do site antigo e do site novo para sua instância. O URL antigo do site provavelmente é o nome DNS público da sua instância do EC2 quando você instalou. WordPress O URL do novo site é o nome DNS público atual da sua instância do EC2. Se você não tiver certeza da URL do site antigo, pode usar o **curl** para encontrá-la com o seguinte comando.
```
[ec2-user ~]$ curl localhost | grep wp-content
```
Você deve visualizar referências ao nome DNS público antigo na saída, que terá a seguinte aparência (URL do site antigo em vermelho):
```
```
1. Faça download do **wp-cli** com o seguinte comando.
```
[ec2-user ~]$ curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
```
1. Pesquise e substitua o URL antigo do site em sua WordPress instalação pelo comando a seguir. Substitua os URLs antigos e novos do site para sua instância do EC2 e o caminho para sua WordPress instalação (geralmente `/var/www/html` ou`/var/www/html/blog`).
```
[ec2-user ~]$ php wp-cli.phar search-replace 'old_site_url' 'new_site_url' --path=/path/to/wordpress/installation --skip-columns=guid
```
1. Em um navegador da Web, insira a nova URL do seu WordPress blog para verificar se o site está funcionando corretamente novamente. Se não estiver, consulte [Alteração da URL do site](https://wordpress.org/support/article/changing-the-site-url/) e [Problemas comuns de instalação](https://wordpress.org/support/article/how-to-install-wordpress/#common-installation-problems) para obter mais informações.