기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS CloudHSM NGINX 또는 Apache with OpenSSL을 사용하는 Linux의 SSL/TLS 오프로드
이 주제는 Linux 웹 서버에서 AWS CloudHSM 을 사용하여 SSL/TLS 오프로드를 설정하기 위한 단계별 지침을 제공합니다.
**Topics**
+ [개요](#ssl-offload-linux-openssl-overview)
+ [1단계: 사전 조건 설정](#ssl-offload-prerequisites)
+ [2단계: 프라이빗 키 및 SSL/TLS 인증서 생성](#ssl-offload-import-or-generate-private-key-and-certificate)
+ [3단계: 웹 서버 구성하기](#ssl-offload-configure-web-server)
+ [4단계: HTTPS 트래픽 활성화 및 인증서 확인하기](#ssl-offload-enable-traffic-and-verify-certificate)
## 개요
Linux에서는 HTTPS를 지원하기 위해 [NGINX](https://nginx.org/en/) 및 [Apache HTTP Server](https://httpd.apache.org/) 웹 서버 소프트웨어가 [OpenSSL](https://www.openssl.org/)에 통합되어 있습니다. [OpenSSL용AWS CloudHSM Dynamic Engine](openssl-library.md)은 웹 서버 소프트웨어가 암호화 오프로딩 및 키 스토리지를 위해 클러스터에서 HSM을 사용할 수 있도록 인터페이스를 제공합니다. OpenSSL 엔진은 웹 서버를 AWS CloudHSM 클러스터에 연결하는 브리지입니다.
이 자습서를 완료하려면 Linux에서 NGINX 웹 서버 소프트웨어를 사용할지, Apache 웹 서버 소프트웨어를 사용할지 먼저 선택해야 합니다. 그런 다음 이 자습서에서는 다음을 수행하는 방법을 보여줍니다.
+ Amazon EC2 인스턴스에 웹 서버 소프트웨어를 설치합니다.
+ AWS CloudHSM 클러스터에 프라이빗 키가 저장되는 HTTPS를 지원하도록 웹 서버 소프트웨어를 구성합니다.
+ (선택 사항) Amazon EC2를 사용하여 두 번째 웹 서버 인스턴스를 만들고 Elastic Load Balancing을 사용하여 로드 밸런서를 만듭니다. 로드 밸런서를 사용하면 여러 서버에 부하를 분산하여 성능을 향상할 수 있습니다. 또한 하나 이상의 서버에 장애가 발생할 경우 중복성과 더 높은 가용성을 제공할 수 있습니다.
시작할 준비가 되면 [1단계: 사전 조건 설정](#ssl-offload-prerequisites)로 이동합니다.
## 1단계: 사전 조건 설정
플랫폼마다 필요한 필수 조건이 다릅니다. 플랫폼에 맞는 아래의 사전 조건 섹션을 사용하세요.
### 클라이언트 SDK 사전 조건 5
클라이언트 SDK 5으로 웹 서버 SSL/TLS 오프로드를 설정하려면 다음이 필요합니다.
+ 하드웨어 보안 모듈(HSM)이 2개 이상 있는 활성 AWS CloudHSM 클러스터
**참고**
단일 HSM 클러스터를 사용할 수 있지만 먼저 클라이언트 키 내구성을 비활성화해야 합니다. 자세한 내용은 [클라이언트 키 내구성 설정 관리](working-client-sync.md#client-sync-sdk8) 및 [클라이언트 SDK 5 구성](configure-sdk-5.md) 도구를 참조하세요.
+ 다음 소프트웨어가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스.
+ 웹 서버(NGINX 또는 아파치)
+ 클라이언트 SDK 5용 OpenSSL Dynamic Engine
+ HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 [CU(Crypto User)](understanding-users.md#crypto-user-chsm-cli)입니다.
**HSM에서 Linux 웹 서버 인스턴스를 설정하고 CU를 생성하려면**
1. 용 OpenSSL Dynamic Engine을 설치하고 구성합니다 AWS CloudHSM. OpenSSL 동적 엔진 설치에 대한 자세한 내용은 [클라이언트용 OpenSSL 동적 엔진 SDK 5](openssl5-install.md)를 참조하세요.
1. 클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 NGINX 또는 Apache 웹 서버를 설치하세요.
------
#### [ Amazon Linux 2 ]
+ Amazon Linux 2에서 최신 버전의 NGINX를 다운로드하는 방법에 대한 자세한 내용은 [NGINX 웹 사이트](https://nginx.org/en/linux_packages.html)를 참조하세요.
Amazon Linux 2에서 사용할 수 있는 NGINX의 최신 버전은 OpenSSL의 시스템 버전보다 최신 버전의 OpenSSL을 사용합니다. NGINX를 설치한 후 AWS CloudHSM OpenSSL Dynamic Engine 라이브러리에서이 버전의 OpenSSL에 필요한 위치로의 심볼 링크를 생성해야 합니다.
```
$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so
```
+ Apache
```
$ sudo yum install httpd mod_ssl
```
------
#### [ Amazon Linux 2023 ]
+ NGINX
```
$ sudo yum install nginx
```
+ Apache
```
$ sudo yum install httpd mod_ssl
```
------
#### [ Red Hat 8 ]
+ NGINX
```
$ sudo yum install nginx
```
+ Apache
```
$ sudo yum install httpd mod_ssl
```
------
#### [ Red Hat 9 ]
+ NGINX
```
$ sudo yum install nginx
```
+ Apache
```
$ sudo yum install httpd mod_ssl
```
------
#### [ Ubuntu 22.04 ]
+ NGINX
```
$ sudo apt install nginx
```
+ Apache
```
$ sudo apt install apache2
```
------
#### [ Ubuntu 24.04 ]
+ NGINX
```
$ sudo apt install nginx
```
+ Apache
```
$ sudo apt install apache2
```
------
1. CloudHSM CLI를 사용하여 [Crypto User](understanding-users.md#crypto-user-chsm-cli)를 생성합니다. HSM 사용자 관리에 대한 자세한 내용은 [CloudHSM CLI를 사용한 HSM 사용자 관리](manage-hsm-users-chsm-cli.md)를 참조하십시오.
**작은 정보**
CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.
이 단계들을 완료한 후 [2단계: 프라이빗 키 및 SSL/TLS 인증서 생성](#ssl-offload-import-or-generate-private-key-and-certificate)로 이동합니다.
#### 참고
+ 보안이 강화된 리눅스(SELinux) 및 웹 서버를 사용하려면 클라이언트 SDK 5가 HSM과 통신하는 데 사용하는 포트인 포트 2223에서 아웃바운드 TCP 연결을 허용해야 합니다.
+ 클러스터를 생성 및 활성화하고 EC2 인스턴스에 클러스터 액세스 권한을 부여하려면 [AWS CloudHSM시작하기](getting-started.md)의 단계를 완료하십시오. 시작하기에서는 HSM 1개와 Amazon EC2 클라이언트 인스턴스 1개로 활성 클러스터를 생성하는 방법에 대한 단계별 지침을 제공합니다. 이 클라이언트 인스턴스를 웹 서버로 사용할 수 있습니다.
+ 클라이언트 키 내구성을 비활성화하지 않으려면 클러스터에 HSM을 두 개 이상 추가하십시오. 자세한 내용은 [AWS CloudHSM 클러스터에 HSM 추가](add-hsm.md) 섹션을 참조하십시오.
+ SSH 또는 PuTTY를 사용하여 클라이언트 인스턴스에 연결할 수 있습니다. 자세한 정보는 Amazon EC2 설명서의 [SSH를 사용하여 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)과 [PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) 단원을 참조하세요.
## 2단계: 프라이빗 키 및 SSL/TLS 인증서 생성
HTTPS를 활성화하려면 웹 서버 애플리케이션(NGINX 또는 Apache)에 프라이빗 키와 해당 SSL/TLS 인증서가 필요합니다. 에서 웹 서버 SSL/TLS 오프로드를 사용하려면 AWS CloudHSM 클러스터의 HSM에 프라이빗 키를 저장 AWS CloudHSM해야 합니다. 먼저 프라이빗 키를 생성한 후 해당 키를 사용하여 인증서 서명 요청(CSR)을 생성합니다. 그런 다음 HSM에서 *가짜 PEM 프라이빗 키*를 내보냅니다. 즉 HSM에 저장된 프라이빗 키에 대한 참조를 포함하는 PEM 형식의 프라이빗 키 파일입니다(실제 프라이빗 키가 아님). 웹 서버는 SSL/TLS 오프로드 중에 가짜 PEM 프라이빗 키 파일을 사용하여 HSM의 프라이빗 키를 식별합니다.
### 프라이빗 키 및 인증서 생성
#### 프라이빗 키 생성
이 섹션에서는 [CloudHSM CLI](cloudhsm_cli.md)를 사용하여 키 페어를 생성하는 방법을 보여줍니다. HSM 내부에 키 페어가 생성되면 이를 가짜 PEM 파일로 내보내고 해당 인증서를 생성할 수 있습니다.
**CloudHSM CLI 설치 및 구성**
1. CloudHSM CLI를 [설치 및 구성](cloudhsm_cli-getting-started.md)합니다.
1. 다음 명령을 사용하여 CloudHSM CLI를 시작합니다.
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
1. 다음 명령을 실행하여 HSM에 로그인합니다. **을 Crypto User의 사용자 이름으로 변경
```
Command: login --username --role crypto-user
```
**프라이빗 키 생성**
사용 사례에 따라 RSA 또는 EC 키 페어를 생성할 수 있습니다. 다음 중 하나를 수행하십시오.
+ HSM에서 RSA 프라이빗 키를 생성하려면
[`key generate-asymmetric-pair rsa`](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) 명령을 사용하여 RSA 키 페어를 생성합니다. 이 예제에서는 모듈러스가 2048, 퍼블릭 지수가 65537, 퍼블릭 키 레이블이 *tls\$1rsa\$1pub*, 프라이빗 키 레이블이 *tls\$1rsa\$1private*인 RSA 키 페어를 생성합니다.
```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label tls_rsa_pub \
--private-label tls_rsa_private \
--private-attributes sign=true
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x0000000000280cc8",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "tls_rsa_pub",
"id": "",
"check-value": "0x01fe6e",
"class": "public-key",
"encrypt": true,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 512,
"public-exponent": "0x010001",
"modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
"modulus-size-bits": 2048
}
},
"private_key": {
"key-reference": "0x0000000000280cc7",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "tls_rsa_private",
"id": "",
"check-value": "0x01fe6e",
"class": "private-key",
"encrypt": false,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": true,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 1217,
"public-exponent": "0x010001",
"modulus": "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",
"modulus-size-bits": 2048
}
}
}
}
```
+ HSM에서 EC 프라이빗 키를 생성하려면
[`key generate-asymmetric-pair ec`](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) 명령을 사용하여 EC 키 페어를 생성합니다. 이 예제에서는 `prime256v1` 곡선(`NID_X9_62_prime256v1` 곡선에 해당)에 기반하여 퍼블릭 키 레이블이 *tls\$1ec\$1pub*, 프라이빗 키 레이블이 *tls\$1ec\$1private*인 EC 키 페어를 생성합니다.
```
aws-cloudhsm > key generate-asymmetric-pair ec \
--curve prime256v1 \
--public-label tls_ec_pub \
--private-label tls_ec_private \
--private-attributes sign=true
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x000000000012000b",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "session"
},
"attributes": {
"key-type": "ec",
"label": "tls_ec_pub",
"id": "",
"check-value": "0xd7c1a7",
"class": "public-key",
"encrypt": false,
"decrypt": false,
"token": false,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 57,
"ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
"curve": "secp224r1"
}
},
"private_key": {
"key-reference": "0x000000000012000c",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "session"
},
"attributes": {
"key-type": "ec",
"label": "tls_ec_private",
"id": "",
"check-value": "0xd7c1a7",
"class": "private-key",
"encrypt": false,
"decrypt": false,
"token": false,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": true,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 122,
"ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
"curve": "secp224r1"
}
}
}
}
```
**가짜 PEM 프라이빗 키 파일 내보내기**
HSM에 프라이빗 키가 있으면 가짜 PEM 프라이빗 키 파일을 내보내야 합니다. 이 파일에은 실제 키 데이터가 포함하지 않지만 OpenSSL 동적 엔진이 HSM의 프라이빗 키를 식별할 수 있도록 해줍니다. 그런 다음 프라이빗 키를 사용하여 CSR(인증서 서명 요청)을 생성하고 CSR에 서명하여 인증서를 생성할 수 있습니다.
[`key generate-file`](cloudhsm_cli-key-generate-file.md) 명령을 실행하여 가짜 PEM 형식의 프라이빗 키를 내보내고 파일에 저장합니다. 다음 값을 사용자의 값으로 대체합니다.
+ ** - 이전 단계에서 생성한 프라이빗 키의 레이블입니다.
+ ** - 가짜 PEM 키가 기록될 파일의 이름입니다.
```
aws-cloudhsm > key generate-file --encoding reference-pem --path --filter attr.label=
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
**CloudHSM CLI 종료**
다음 명령을 실행하여 CloudHSM CLI를 종료합니다.
```
aws-cloudhsm > quit
```
이제 이전 명령에서 **로 지정된 경로에, 시스템에 새 파일이 있어야 합니다. 이 파일은 가짜 PEM 프라이빗 키 파일입니다.
#### 자체 사인된 인증서를 생성합니다.
가짜 PEM 프라이빗 키를 생성한 후에는 이 파일을 사용하여 인증서 사인 요청(CSR) 및 인증서를 생성할 수 있습니다.
프로덕션 환경에서는 일반적으로 CA(인증 기관)을 사용하여 CSR에서 인증서를 생성합니다. 테스트 환경에는 CA가 필요하지 않습니다. CA를 사용하는 경우 CA에 CSR 파일을 보내고 CA가 웹 서버에서 HTTPS용으로 제공하는 서명된 SSL/TLS 인증서를 사용하세요.
CA를 사용하는 대신 AWS CloudHSM OpenSSL Dynamic Engine을 사용하여 자체 서명된 인증서를 생성할 수 있습니다. 자체 사인된 인증서는 브라우저에서 신뢰하지 않으며 프로덕션 환경에서 사용해서는 안 됩니다. 테스트 환경에서는 이러한 인증서를 사용할 수 있습니다.
**주의**
자체 사인된 인증서는 테스트 환경에서만 사용해야 합니다. 프로덕션 환경의 경우 인증 기관과 같은 추가 보안 방법을 사용하여 인증서를 생성하십시오.
**OpenSSL Dynamic Engine 설치 및 구성**
1. 클라이언트 인스턴스에 연결합니다.
1. [AWS CloudHSM 클라이언트 SDK 5용 OpenSSL Dynamic Engine 설치](openssl5-install.md)
**인증서 생성**
1. 이전 단계에서 생성한 가짜 PEM 파일의 사본을 확보하세요.
1. CSR 생성
다음 명령을 실행하여 AWS CloudHSM OpenSSL Dynamic Engine을 사용하여 인증서 서명 요청(CSR)을 생성합니다. **를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다. **을 CSR이 포함된 파일의 이름으로 바꿉니다.
`req` 명령은 대화식입니다. 각 필드에 응답합니다. 필드 정보가 SSL/TLS 인증서에 복사됩니다.
```
$ openssl req -engine cloudhsm -new -key -out
```
1. 자체 서명된 인증서 생성
다음 명령을 실행하여 AWS CloudHSM OpenSSL Dynamic Engine을 사용하여 HSM의 프라이빗 키로 CSR에 서명합니다. 이렇게 하면 자체 사인된 인증서가 생성됩니다. 명령의 다음 값을 사용자의 값으로 바꿉니다.
+ ** – CSR이 포함된 파일 이름
+ ** – 가짜 PEM 프라이빗 키가 포함된 파일 이름
+ ** – 웹 서버 인증서가 포함될 파일 이름
```
$ openssl x509 -engine cloudhsm -req -days 365 -in -signkey -out
```
이 단계들을 완료한 후 [3단계: 웹 서버 구성하기](#ssl-offload-configure-web-server)로 이동합니다.
## 3단계: 웹 서버 구성하기
[이전 단계](#ssl-offload-import-or-generate-private-key-and-certificate)에서 생성한 HTTPS 인증서와 이에 해당되는 가짜 PEM 프라이빗 키를 사용하려면 웹 서버 소프트웨어의 구성을 업데이트하십시오. 시작하기 전에 기존 인증서와 키를 백업해야 한다는 점을 잊지 마십시오. 그러면 AWS CloudHSM이 지원되는 SSL/TLS 오프로드의 Linux 웹 서버 소프트웨어 설정이 완료됩니다.
다음 섹션 중 하나에 있는 단계를 완료합니다.
**Topics**
+ [NGINX 웹 서버를 구성합니다](#ssl-offload-nginx)
+ [Apache 웹 서버 구성하기](#ssl-offload-apache)
### NGINX 웹 서버를 구성합니다
이 섹션을 사용하여 지원되는 플랫폼에서 NGINX를 구성합니다.
**NGINX용 웹 서버 구성을 업데이트하려면**
1. 클라이언트 인스턴스에 연결합니다.
1. 다음 명령을 실행하여 웹 서버 인증서 및 가짜 PEM 프라이빗 키에 필요한 디렉터리를 생성합니다.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
1. 다음 명령을 실행하여 웹 서버 인증서를 필요한 위치에 복사합니다. **를 웹 서버 인증서 이름으로 바꿉니다.
```
$ sudo cp /etc/pki/nginx/server.crt
```
1. 다음 명령을 실행하여 가짜 PEM 프라이빗 키를 필요한 위치에 복사합니다. **를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다.
```
$ sudo cp /etc/pki/nginx/private/server.key
```
1. 다음 명령을 실행하여 *nginx*라는 이름의 사용자가 파일을 읽을 수 있도록 파일 소유권을 변경합니다.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
1. 다음 명령을 실행하여 `/etc/nginx/nginx.conf` 파일을 백업합니다.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```
1. NGINX 구성을 업데이트합니다.
**참고**
각 클러스터는 모든 NGINX 웹 서버에서 최대 1000개의 NGINX 작업자 프로세스를 지원할 수 있습니다.
------
#### [ Amazon Linux 2 ]
텍스트 편집기를 사용하여 `/etc/nginx/nginx.conf` 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다. 파일의 맨 위에 다음 행을 추가합니다.
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
그런 다음 파일의 TLS 섹션에 다음을 추가합니다.
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Amazon Linux 2023 ]
텍스트 편집기를 사용하여 `/etc/nginx/nginx.conf` 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다. 파일의 맨 위에 다음 행을 추가합니다.
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
그런 다음 파일의 TLS 섹션에 다음을 추가합니다.
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Red Hat 8 ]
텍스트 편집기를 사용하여 `/etc/nginx/nginx.conf` 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다. 파일의 맨 위에 다음 행을 추가합니다.
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
그런 다음 파일의 TLS 섹션에 다음을 추가합니다.
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Red Hat 9 ]
텍스트 편집기를 사용하여 `/etc/nginx/nginx.conf` 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다. 파일의 맨 위에 다음 행을 추가합니다.
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
그런 다음 파일의 TLS 섹션에 다음을 추가합니다.
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Ubuntu 22.04 LTS ]
텍스트 편집기를 사용하여 `/etc/nginx/nginx.conf` 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다. 파일의 맨 위에 다음 행을 추가합니다.
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
그런 다음 파일의 TLS 섹션에 다음을 추가합니다.
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
#### [ Ubuntu 24.04 LTS ]
텍스트 편집기를 사용하여 `/etc/nginx/nginx.conf` 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다. 파일의 맨 위에 다음 행을 추가합니다.
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```
그런 다음 파일의 TLS 섹션에 다음을 추가합니다.
```
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
# It is *strongly* recommended to generate unique DH parameters
# Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
#ssl_dhparam "/etc/pki/nginx/dhparams.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
```
------
파일을 저장합니다.
1. `systemd` 구성 파일을 백업한 후, `EnvironmentFile` 경로를 설정합니다.
------
#### [ Amazon Linux 2 ]
1. `nginx.service` 파일을 백업합니다.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. 텍스트 편집기에서 `/lib/systemd/system/nginx.service` 파일을 연 후, [서비스] 섹션 아래에 다음 경로를 추가합니다.
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Amazon Linux 2023 ]
1. `nginx.service` 파일을 백업합니다.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. 텍스트 편집기에서 `/lib/systemd/system/nginx.service` 파일을 연 다음 [서비스] 섹션에서 다음 경로를 추가합니다.
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Red Hat 8 ]
1. `nginx.service` 파일을 백업합니다.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. 텍스트 편집기에서 `/lib/systemd/system/nginx.service` 파일을 연 후, [서비스] 섹션 아래에 다음 경로를 추가합니다.
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Red Hat 9 ]
1. `nginx.service` 파일을 백업합니다.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. 텍스트 편집기에서 `/lib/systemd/system/nginx.service` 파일을 연 후, [서비스] 섹션 아래에 다음 경로를 추가합니다.
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Ubuntu 22.04 LTS ]
1. `nginx.service` 파일을 백업합니다.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. 텍스트 편집기에서 `/lib/systemd/system/nginx.service` 파일을 연 후, [서비스] 섹션 아래에 다음 경로를 추가합니다.
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
#### [ Ubuntu 24.04 LTS ]
1. `nginx.service` 파일을 백업합니다.
```
$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
```
1. 텍스트 편집기에서 `/lib/systemd/system/nginx.service` 파일을 연 후, [서비스] 섹션 아래에 다음 경로를 추가합니다.
```
EnvironmentFile=/etc/sysconfig/nginx
```
------
1. `/etc/sysconfig/nginx` 파일이 있는지 여부를 확인한 후, 다음 중 하나를 수행합니다.
+ 파일이 있는 경우 다음 명령을 실행하여 파일을 백업합니다.
```
$ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
```
+ 파일이 없는 경우 텍스트 편집기를 연 후 `/etc/sysconfig/` 폴더에 `nginx`라는 파일을 생성합니다.
1. NGINX 환경을 구성합니다.
**참고**
클라이언트 SDK 5는 CU의 자격 증명을 저장하기 위한 `CLOUDHSM_PIN` 환경 변수를 도입합니다.
------
#### [ Amazon Linux 2 ]
텍스트 편집기에서 `/etc/sysconfig/nginx` 파일을 엽니다. 이때 Linux 루트 권한이 필요합니다. 암호화 사용자(Cryptography User) 자격 증명 추가하기:
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
파일을 저장합니다.
------
#### [ Amazon Linux 2023 ]
텍스트 편집기에서 `/etc/sysconfig/nginx` 파일을 엽니다. 이때 Linux 루트 권한이 필요합니다. 암호화 사용자(Cryptography User) 자격 증명 추가하기:
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
파일을 저장합니다.
------
#### [ Red Hat 8 ]
텍스트 편집기에서 `/etc/sysconfig/nginx` 파일을 엽니다. 이때 Linux 루트 권한이 필요합니다. 암호화 사용자(Cryptography User) 자격 증명 추가하기:
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
파일을 저장합니다.
------
#### [ Red Hat 9 ]
텍스트 편집기에서 `/etc/sysconfig/nginx` 파일을 엽니다. 이때 Linux 루트 권한이 필요합니다. 암호화 사용자(Cryptography User) 자격 증명 추가하기:
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
파일을 저장합니다.
------
#### [ Ubuntu 22.04 LTS ]
텍스트 편집기에서 `/etc/sysconfig/nginx` 파일을 엽니다. 이때 Linux 루트 권한이 필요합니다. 암호화 사용자(Cryptography User) 자격 증명 추가하기:
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
파일을 저장합니다.
------
#### [ Ubuntu 24.04 LTS ]
텍스트 편집기에서 `/etc/sysconfig/nginx` 파일을 엽니다. 이때 Linux 루트 권한이 필요합니다. 암호화 사용자(Cryptography User) 자격 증명 추가하기:
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
파일을 저장합니다.
------
1. NGINX 웹 서버를 시작합니다.
------
#### [ Amazon Linux 2 ]
실행 중인 NGINX 프로세스를 모두 중지하기
```
$ sudo systemctl stop nginx
```
`systemd` 구성을 다시 로드하여 최신 변경 사항 찾아내기
```
$ sudo systemctl daemon-reload
```
NGINX 프로세스 시작하기
```
$ sudo systemctl start nginx
```
------
#### [ Amazon Linux 2023 ]
모든 NGINX 프로세스 중지
```
$ sudo systemctl stop nginx
```
`systemd` 구성을 다시 로드하여 최신 변경 사항 찾아내기
```
$ sudo systemctl daemon-reload
```
NGINX 시작
```
$ sudo systemctl start nginx
```
------
#### [ Red Hat 8 ]
실행 중인 NGINX 프로세스를 모두 중지하기
```
$ sudo systemctl stop nginx
```
`systemd` 구성을 다시 로드하여 최신 변경 사항 찾아내기
```
$ sudo systemctl daemon-reload
```
NGINX 프로세스 시작하기
```
$ sudo systemctl start nginx
```
------
#### [ Red Hat 9 ]
실행 중인 NGINX 프로세스를 모두 중지하기
```
$ sudo systemctl stop nginx
```
`systemd` 구성을 다시 로드하여 최신 변경 사항 찾아내기
```
$ sudo systemctl daemon-reload
```
NGINX 프로세스 시작하기
```
$ sudo systemctl start nginx
```
------
#### [ Ubuntu 22.04 LTS ]
실행 중인 NGINX 프로세스를 모두 중지하기
```
$ sudo systemctl stop nginx
```
`systemd` 구성을 다시 로드하여 최신 변경 사항 찾아내기
```
$ sudo systemctl daemon-reload
```
NGINX 프로세스 시작하기
```
$ sudo systemctl start nginx
```
------
#### [ Ubuntu 24.04 LTS ]
실행 중인 NGINX 프로세스를 모두 중지하기
```
$ sudo systemctl stop nginx
```
`systemd` 구성을 다시 로드하여 최신 변경 사항 찾아내기
```
$ sudo systemctl daemon-reload
```
NGINX 프로세스 시작하기
```
$ sudo systemctl start nginx
```
------
1. (선택 사항) 시작 시 NGINX를 시작하도록 플랫폼을 구성합니다.
------
#### [ Amazon Linux 2 ]
```
$ sudo systemctl enable nginx
```
------
#### [ Amazon Linux 2023 ]
```
$ sudo systemctl enable nginx
```
------
#### [ Red Hat 8 ]
```
$ sudo systemctl enable nginx
```
------
#### [ Red Hat 9 ]
```
$ sudo systemctl enable nginx
```
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo systemctl enable nginx
```
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo systemctl enable nginx
```
------
웹 서버 구성을 업데이트한 후에 [4단계: HTTPS 트래픽 활성화 및 인증서 확인하기](#ssl-offload-enable-traffic-and-verify-certificate) 단원으로 이동합니다.
### Apache 웹 서버 구성하기
이 섹션을 사용하여 지원되는 플랫폼에서 Apache를 구성합니다.
**Apache용 웹 서버 구성을 업데이트하려면**
1. Amazon EC2 클라이언트 인스턴스에 연결합니다.
1. 플랫폼의 인증서 및 프라이빗 키의 기본 위치를 정의하십시오.
------
#### [ Amazon Linux 2 ]
`/etc/httpd/conf.d/ssl.conf` 파일에 다음 값이 존재하는지 확인하십시오.
```
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
------
#### [ Amazon Linux 2023 ]
`/etc/httpd/conf.d/ssl.conf` 파일에 다음 값이 있는지 확인합니다.
```
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
------
#### [ Red Hat 8 ]
`/etc/httpd/conf.d/ssl.conf` 파일에 다음 값이 존재하는지 확인하십시오.
```
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
------
#### [ Red Hat 9 ]
`/etc/httpd/conf.d/ssl.conf` 파일에 다음 값이 존재하는지 확인하십시오.
```
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
------
#### [ Ubuntu 22.04 LTS ]
`/etc/apache2/sites-available/default-ssl.conf` 파일에 다음 값이 존재하는지 확인하십시오.
```
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
```
------
#### [ Ubuntu 24.04 LTS ]
`/etc/apache2/sites-available/default-ssl.conf` 파일에 다음 값이 존재하는지 확인하십시오.
```
SSLCertificateFile /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile /etc/ssl/private/localhost.key
```
------
1. 웹 서버 인증서를 플랫폼의 필수 위치에 복사하십시오.
------
#### [ Amazon Linux 2 ]
```
$ sudo cp /etc/pki/tls/certs/localhost.crt
```
**를 웹 서버 인증서 이름으로 바꿉니다.
------
#### [ Amazon Linux 2023 ]
```
$ sudo cp /etc/pki/tls/certs/localhost.crt
```
**를 웹 서버 인증서 이름으로 바꿉니다.
------
#### [ Red Hat 8 ]
```
$ sudo cp /etc/pki/tls/certs/localhost.crt
```
**를 웹 서버 인증서 이름으로 바꿉니다.
------
#### [ Red Hat 9 ]
```
$ sudo cp /etc/pki/tls/certs/localhost.crt
```
**를 웹 서버 인증서 이름으로 바꿉니다.
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo cp /etc/ssl/certs/localhost.crt
```
**를 웹 서버 인증서 이름으로 바꿉니다.
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo cp /etc/ssl/certs/localhost.crt
```
**를 웹 서버 인증서 이름으로 바꿉니다.
------
1. 가짜 PEM 프라이빗 키를 플랫폼에 필요한 위치로 복사합니다.
------
#### [ Amazon Linux 2 ]
```
$ sudo cp /etc/pki/tls/private/localhost.key
```
**를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다.
------
#### [ Amazon Linux 2023 ]
```
$ sudo cp /etc/pki/tls/private/localhost.key
```
**를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다.
------
#### [ Red Hat 8 ]
```
$ sudo cp /etc/pki/tls/private/localhost.key
```
**를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다.
------
#### [ Red Hat 9 ]
```
$ sudo cp /etc/pki/tls/private/localhost.key
```
**를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다.
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo cp /etc/ssl/private/localhost.key
```
**를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다.
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo cp /etc/ssl/private/localhost.key
```
**를 가짜 PEM 프라이빗 키가 포함된 파일 이름으로 바꿉니다.
------
1. 플랫폼에서 필요한 경우 이러한 파일의 소유권을 변경하십시오.
------
#### [ Amazon Linux 2 ]
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
*apache*라는 이름의 사용자에게 읽기 권한을 제공합니다.
------
#### [ Amazon Linux 2023 ]
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
*apache*라는 이름의 사용자에게 읽기 권한을 제공합니다.
------
#### [ Red Hat 8 ]
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
*apache*라는 이름의 사용자에게 읽기 권한을 제공합니다.
------
#### [ Red Hat 9 ]
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
*apache*라는 이름의 사용자에게 읽기 권한을 제공합니다.
------
#### [ Ubuntu 22.04 LTS ]
작업이 필요하지 않습니다.
------
#### [ Ubuntu 24.04 LTS ]
작업이 필요하지 않습니다.
------
1. 플랫폼의 Apache 지시어를 구성합니다.
------
#### [ Amazon Linux 2 ]
이 플랫폼의 SSL 파일을 찾으십시오.
```
/etc/httpd/conf.d/ssl.conf
```
이 파일에는 서버 실행 방법을 정의하는 Apache 지시어가 들어 있습니다. 왼쪽에 지시어가 표시되고 그 뒤에 값이 표시됩니다. 텍스트 편집기를 사용하여 이 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다.
다음 지시어를 다음 값으로 업데이트하거나 입력하십시오.
```
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
```
파일을 저장합니다.
------
#### [ Amazon Linux 2023 ]
이 플랫폼의 SSL 파일을 찾으십시오.
```
/etc/httpd/conf.d/ssl.conf
```
이 파일에는 서버 실행 방법을 정의하는 Apache 지시어가 들어 있습니다. 왼쪽에 지시어가 표시되고 그 뒤에 값이 표시됩니다. 텍스트 편집기를 사용하여 이 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다.
다음 지시어를 다음 값으로 업데이트하거나 입력하십시오.
```
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
```
파일을 저장합니다.
------
#### [ Red Hat 8 ]
이 플랫폼의 SSL 파일을 찾으십시오.
```
/etc/httpd/conf.d/ssl.conf
```
이 파일에는 서버 실행 방법을 정의하는 Apache 지시어가 들어 있습니다. 왼쪽에 지시어가 표시되고 그 뒤에 값이 표시됩니다. 텍스트 편집기를 사용하여 이 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다.
다음 지시어를 다음 값으로 업데이트하거나 입력하십시오.
```
SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL
```
파일을 저장합니다.
------
#### [ Red Hat 9 ]
이 플랫폼의 SSL 파일을 찾으십시오.
```
/etc/httpd/conf.d/ssl.conf
```
이 파일에는 서버 실행 방법을 정의하는 Apache 지시어가 들어 있습니다. 왼쪽에 지시어가 표시되고 그 뒤에 값이 표시됩니다. 텍스트 편집기를 사용하여 이 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다.
다음 지시어를 다음 값으로 업데이트하거나 입력하십시오.
```
SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL
```
파일을 저장합니다.
------
#### [ Ubuntu 22.04 LTS ]
이 플랫폼의 SSL 파일을 찾으십시오.
```
/etc/apache2/mods-available/ssl.conf
```
이 파일에는 서버 실행 방법을 정의하는 Apache 지시어가 들어 있습니다. 왼쪽에 지시어가 표시되고 그 뒤에 값이 표시됩니다. 텍스트 편집기를 사용하여 이 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다.
다음 지시어를 다음 값으로 업데이트하거나 입력하십시오.
```
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3
```
파일을 저장합니다.
SSL 모듈 및 기본 SSL 사이트 구성을 활성화합니다.
```
$ sudo a2enmod ssl
$ sudo a2ensite default-ssl
```
------
#### [ Ubuntu 24.04 LTS ]
이 플랫폼의 SSL 파일을 찾으십시오.
```
/etc/apache2/mods-available/ssl.conf
```
이 파일에는 서버 실행 방법을 정의하는 Apache 지시어가 들어 있습니다. 왼쪽에 지시어가 표시되고 그 뒤에 값이 표시됩니다. 텍스트 편집기를 사용하여 이 파일을 편집합니다. 이때 Linux 루트 권한이 필요합니다.
다음 지시어를 다음 값으로 업데이트하거나 입력하십시오.
```
SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3
```
파일을 저장합니다.
SSL 모듈 및 기본 SSL 사이트 구성을 활성화합니다.
```
$ sudo a2enmod ssl
$ sudo a2ensite default-ssl
```
------
1. 플랫폼의 환경 값 파일을 구성합니다.
------
#### [ Amazon Linux 2 ]
httpd 서비스 파일을 엽니다.
```
/lib/systemd/system/httpd.service
```
`[Service]` 섹션 아래에 다음을 추가합니다.
```
EnvironmentFile=/etc/sysconfig/httpd
```
------
#### [ Amazon Linux 2023 ]
httpd 서비스 파일을 엽니다.
```
/lib/systemd/system/httpd.service
```
`[Service]` 섹션 아래에 다음을 추가합니다.
```
EnvironmentFile=/etc/sysconfig/httpd
```
------
#### [ Red Hat 8 ]
httpd 서비스 파일을 엽니다.
```
/lib/systemd/system/httpd.service
```
`[Service]` 섹션 아래에 다음을 추가합니다.
```
EnvironmentFile=/etc/sysconfig/httpd
```
------
#### [ Red Hat 9 ]
httpd 서비스 파일을 엽니다.
```
/lib/systemd/system/httpd.service
```
`[Service]` 섹션 아래에 다음을 추가합니다.
```
EnvironmentFile=/etc/sysconfig/httpd
```
------
#### [ Ubuntu 22.04 LTS ]
작업이 필요하지 않습니다. `/etc/sysconfig/httpd`에 환경 값이 입력됩니다.
------
#### [ Ubuntu 24.04 LTS ]
작업이 필요하지 않습니다. `/etc/sysconfig/httpd`에 환경 값이 입력됩니다.
------
1. 플랫폼의 환경 변수를 저장하는 파일에서 암호화 사용자(cryptographic user)의 자격 증명이 포함된 환경 변수를 설정합니다.
------
#### [ Amazon Linux 2 ]
텍스트 편집기를 사용하여 `/etc/sysconfig/httpd`을 편집합니다.
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
------
#### [ Amazon Linux 2023 ]
텍스트 편집기를 사용하여 `/etc/sysconfig/httpd`을 편집합니다.
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
------
#### [ Red Hat 8 ]
텍스트 편집기를 사용하여 `/etc/sysconfig/httpd`을 편집합니다.
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
**참고**
클라이언트 SDK 5는 CU의 자격 증명을 저장하기 위한 `CLOUDHSM_PIN` 환경 변수를 도입합니다.
------
#### [ Red Hat 9 ]
텍스트 편집기를 사용하여 `/etc/sysconfig/httpd`을 편집합니다.
```
CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
**참고**
클라이언트 SDK 5는 CU의 자격 증명을 저장하기 위한 `CLOUDHSM_PIN` 환경 변수를 도입합니다.
------
#### [ Ubuntu 22.04 LTS ]
텍스트 편집기를 사용하여 `/etc/apache2/envvars`을 편집합니다.
```
export CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
**참고**
클라이언트 SDK 5는 CU의 자격 증명을 저장하기 위한 `CLOUDHSM_PIN` 환경 변수를 도입합니다. 클라이언트 SDK 3에서 CU 자격 증명을 `n3fips_password` 환경 변수에 저장했습니다. 클라이언트 SDK 5는 두 환경 변수를 모두 지원하지만 `CLOUDHSM_PIN`을 사용하는 것이 좋습니다.
------
#### [ Ubuntu 24.04 LTS ]
텍스트 편집기를 사용하여 `/etc/apache2/envvars`을 편집합니다.
```
export CLOUDHSM_PIN=:
```
** 및 *<암호>*를 암호화 사용자(Cryptography User) 자격 증명으로 바꿉니다.
**참고**
클라이언트 SDK 5는 CU의 자격 증명을 저장하기 위한 `CLOUDHSM_PIN` 환경 변수를 도입합니다. 클라이언트 SDK 3에서 CU 자격 증명을 `n3fips_password` 환경 변수에 저장했습니다. 클라이언트 SDK 5는 두 환경 변수를 모두 지원하지만 `CLOUDHSM_PIN`을 사용하는 것이 좋습니다.
------
1. Apache 웹 서버를 시작합니다.
------
#### [ Amazon Linux 2 ]
```
$ sudo systemctl daemon-reload
$ sudo service httpd start
```
------
#### [ Amazon Linux 2023 ]
```
$ sudo systemctl daemon-reload
$ sudo service httpd start
```
------
#### [ Red Hat 8 ]
```
$ sudo systemctl daemon-reload
$ sudo service httpd start
```
------
#### [ Red Hat 9 ]
```
$ sudo systemctl daemon-reload
$ sudo service httpd start
```
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo service apache2 start
```
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo service apache2 start
```
------
1. (선택 사항) 시작 시 Apache를 시작하도록 플랫폼을 구성합니다.
------
#### [ Amazon Linux 2 ]
```
$ sudo chkconfig httpd on
```
------
#### [ Amazon Linux 2023 ]
```
$ sudo chkconfig httpd on
```
------
#### [ Red Hat 8 ]
```
$ systemctl enable httpd
```
------
#### [ Red Hat 9 ]
```
$ systemctl enable httpd
```
------
#### [ Ubuntu 22.04 LTS ]
```
$ sudo systemctl enable apache2
```
------
#### [ Ubuntu 24.04 LTS ]
```
$ sudo systemctl enable apache2
```
------
웹 서버 구성을 업데이트한 후에 [4단계: HTTPS 트래픽 활성화 및 인증서 확인하기](#ssl-offload-enable-traffic-and-verify-certificate) 단원으로 이동합니다.
## 4단계: HTTPS 트래픽 활성화 및 인증서 확인하기
를 사용하여 SSL/TLS 오프로드를 위해 웹 서버를 구성한 후 인바운드 HTTPS 트래픽을 허용하는 보안 그룹에 웹 서버 인스턴스를 AWS CloudHSM추가합니다. 이렇게 하면 웹 브라우저와 같은 클라이언트가 웹 서버와 HTTPS 연결을 설정할 수 있습니다. 그런 다음 웹 서버에 HTTPS를 연결하고 SSL/TLS 오프로드에 대해 구성한 인증서를 사용하고 있는지 확인합니다 AWS CloudHSM.
**Topics**
+ [인바운드 HTTPS 연결 활성화](#ssl-offload-add-security-group-linux)
+ [HTTPS가 사용자가 구성한 인증서를 사용하는지 확인](#ssl-offload-verify-https-connection-linux-enable)
### 인바운드 HTTPS 연결 활성화
클라이언트(예: 웹 서버)에서 웹 서버에 연결하려면 인바운드 HTTPS 연결을 허용하는 보안 그룹을 생성합니다. 구체적으로 포트 443에서 인바운드 TCP 연결을 허용해야 합니다. 이 보안 그룹을 웹 서버에 할당합니다.
**HTTPS용 보안 그룹을 생성하여 웹 서버에 할당하려면**
1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.
1. 탐색 창에서 **보안 그룹**을 선택합니다.
1. **보안 그룹 생성**을 선택합니다.
1. **보안 그룹 생성**에서 다음을 수행합니다.
1. **보안 그룹 이름**에 생성하려는 보안 그룹의 이름을 입력합니다.
1. (선택 사항) 생성하려는 보안 그룹에 대한 설명을 입력합니다.
1. 웹 서버 Amazon EC2 인스턴스가 포함된 VPC를 **VPC**로 선택합니다.
1. **규칙 추가**를 선택합니다.
1. 드롭다운 창에서 **HTTPS**를 **유형**으로 선택합니다.
1. **소스**에 소스 위치를 입력합니다.
1. **보안 그룹 생성**을 선택합니다.
1. 탐색 창에서 **인스턴스(Instances)**를 선택합니다.
1. 웹 서버 인스턴스 옆에 있는 확인란을 선택합니다.
1. 페이지 상단의 **작업** 드롭다운 메뉴를 선택합니다. **보안**을 선택한 다음 **보안 그룹 변경**을 선택합니다.
1. **연결된 보안 그룹**에서 검색 상자를 선택하고 HTTPS용으로 생성한 보안 그룹을 선택합니다. 그런 다음 **보안 그룹 추가**를 선택합니다.
1. **저장**을 선택합니다.
### HTTPS가 사용자가 구성한 인증서를 사용하는지 확인
웹 서버를 보안 그룹에 추가한 후 SSL/TLS 오프로드가 자체 서명 인증서를 사용하고 있는지 확인할 수 있습니다. 웹 브라우저 또는 [OpenSSL s\$1client](https://www.openssl.org/docs/manmaster/man1/s_client.html)와 같은 도구를 사용하여 이 작업을 수행할 수 있습니다.
**웹 브라우저를 사용하여 SSL/TLS 오프로드를 확인하려면**
1. 웹 브라우저를 사용하여 서버의 퍼블릭 DNS 이름 또는 IP 주소를 사용해 웹 서버에 연결합니다. 주소 표시줄의 URL이 https://로 시작하는지 확인합니다. 예를 들어 **https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/**입니다.
**작은 정보**
Amazon Route 53과 같은 DNS 서비스를 사용하여 웹사이트의 도메인 이름(예: https://www.example.com/)을 웹 서버로 라우팅할 수 있습니다. 자세한 내용은 *Amazon Route 53 개발자 안내서* 또는 DNS 서비스 설명서의 [Amazon EC2 인스턴스로 트래픽 라우팅](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)을 참조하십시오.
1. 웹 브라우저를 사용하여 웹 서버 인증서를 봅니다. 자세한 내용은 다음을 참조하십시오.
+ Mozilla Firefox의 경우 Mozilla Support 웹 사이트의 [View a Certificate(인증서 보기)](https://support.mozilla.org/en-US/kb/secure-website-certificate#w_view-a-certificate)를 참조하십시오.
+ Google Chrome의 경우 Google Tools for Web Developers 웹 사이트의 [보안 문제 이해](https://developers.google.com/web/tools/chrome-devtools/security)를 참조하십시오.
다른 웹 브라우저에도 웹 서버 인증서를 보는 데 사용할 수 있는 유사한 기능이 있을 수 있습니다.
1. SSL/TLS 인증서가 웹 서버에서 사용하도록 구성한 것인지 확인합니다.
**OpenSSL s\$1client를 사용하여 SSL/TLS 오프로드를 확인하려면**
1. 다음 OpenSSL 명령을 실행하여 HTTPS를 사용해 웹 서버에 연결합니다. **을 웹 서버의 퍼블릭 DNS 이름 또는 IP 주소로 바꿉니다.
```
openssl s_client -connect :443
```
**작은 정보**
Amazon Route 53과 같은 DNS 서비스를 사용하여 웹사이트의 도메인 이름(예: https://www.example.com/)을 웹 서버로 라우팅할 수 있습니다. 자세한 내용은 *Amazon Route 53 개발자 안내서* 또는 DNS 서비스 설명서에서 [Amazon EC2 인스턴스로의 라우팅 트래픽](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)을 참조하십시오.
1. SSL/TLS 인증서가 웹 서버에서 사용하도록 구성한 것인지 확인합니다.
이제 웹 사이트가 HTTPS로 보안됩니다. 웹 서버의 프라이빗 키는 AWS CloudHSM 클러스터의 HSM에 저장됩니다.
로드 밸런서를 추가하려면 [Elastic Load Balancing을 사용하여 로드 밸런서 추가 AWS CloudHSM(선택 사항)](third-offload-add-lb.md) 섹션을 참조하십시오.