79.9. Apache HTTP 서버에서 지원되는 암호 설정
기본적으로 Apache HTTP 서버는 최근 브라우저와 호환되는 안전한 기본값을 정의하는 시스템 전체 암호화 정책을 사용합니다. 시스템 전체 암호화에서 허용하는 암호 목록은 /etc/crypto-policies/back-ends/openssl.config
파일을 참조하십시오.
my_company.idm.example.com Apache HTTP 서버가 지원하는 암호를 수동으로 구성할 수 있습니다. 환경에 특정 암호가 필요한 경우 절차를 따릅니다.
사전 요구 사항
절차
/etc/httpd/conf/httpd.conf
파일을 편집하고 TLS 암호를 설정하려는<VirtualHost>
지시문에SSLCipherSuite
매개변수를 추가합니다.SSLCipherSuite "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!SHA1:!SHA256"
이 예에서는
EECDH+AESGCM
,EDH+AESGCM
,AES256+EECDH
및AES256+EDH
암호화만 활성화하고SHA1 및 SHA
256
메시지 인증 코드(MAC)를 사용하는 모든 암호를 비활성화합니다.httpd
서비스를 다시 시작하십시오.# systemctl restart httpd
검증 단계
암호 목록을 표시하려면 Apache HTTP Server에서 지원하는 암호 목록을 표시합니다.
nmap
패키지를 설치합니다.# yum install nmap
nmap
유틸리티를 사용하여 지원되는 암호를 표시합니다.# nmap --script ssl-enum-ciphers -p 443 example.com ... PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A ...
추가 리소스
-
update-crypto-policies(8)
도움말 페이지 - 시스템 전체 암호화 정책 사용.
- Apache HTTP Server 설명서 설치 - SSLCipherSuite