Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
如何在我的 Lightsail 实例中关闭 TLS 1.0 或 TLS 1.1?
我想在我的 Amazon Lightsail 实例中关闭 TLS 1.0 或 TLS 1.1。
简短描述
SSL/TLS 协议 TLS 1.2 之前的所有版本均不再更新,并且被认为是不安全的。默认情况下,大多数 Web 服务器仍启用这些 TLS 版本。修改 Web 服务器配置文件中的 SSLProtocol 指令可禁用这些协议。以下解决方法介绍如何在 Apache 和 NGINX Web 服务器的 Lightsail 实例中禁用这些未更新的TLS 版本。
**注意:**如果您在网站上使用 Amazon Lightsail 负载均衡器,则还必须在负载均衡器中禁用 TLS 1.0 和 1.1。不过,目前不支持在 Lightsail 负载均衡器中禁用 TLS 版本。要禁用这些 TLS 版本,同时使用 Lightsail 负载均衡器,请使用 Amazon 应用程序负载均衡器,而不是 Lightsail 负载均衡器。
解决方法
**注意:**本文中提到的文件路径可能会因以下原因而发生变化:
- 实例有 Bitnami 堆栈,且 Bitnami 堆栈使用原生 Linux 系统包(方法 A)。
- 实例有 Bitnami 堆栈,并且它是一个自包含安装(方法 B)。
如果您使用的 Lightsail 实例有 Bitnami 堆栈,请运行以下命令来确定您的 Bitnami 安装类型:
具有 Bitnami 堆栈的 Lightsail 实例
Apache Web 服务
1.打开配置文件:
方法 A 下的 Bitnami 堆栈
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf
方法 B 下的 Bitnami 堆栈
sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf
2.在配置文件中,修改 SSLProtocol 指令以反映您要使用的 TLS 版本。在以下示例中,TLS 版本为 1.2 和 1.3:
SSLProtocol +TLSv1.2 +TLSv1.3
**注意:**仅当您的服务器中有 OpenSSL 1.1.1 时才使用 TLS 1.3。通过运行 openssl version 命令验证版本。
3.保存文件。按 esc,键入 :wq! 然后按 ENTER。
4.重新启动 Apache 服务:
sudo /opt/bitnami/ctlscript.sh restart apache
NGINX Web 服务
1.打开配置文件:
sudo vi /opt/bitnami/nginx/conf/nginx.conf
2.在配置文件中,修改 SSLProtocol 指令以反映您要使用的 TLS 版本。在以下示例中,TLS 版本为 1.2 和 1.3:
ssl_protocols TLSv1.2 TLSv1.3;
**注意:**仅当您的服务器中有 OpenSSL 1.1.1 时才使用 TLS 1.3。使用 openssl version 命令验证版本。
3.保存文件。按 esc,键入 :wq! 然后按 ENTER。
4.重新启动 Apache 服务:
sudo /opt/bitnami/ctlscript.sh restart nginx
没有 Bitnami 堆栈的 Lightsail 实例
Apache Web 服务
1.打开配置文件:
适用于 Amazon Linux 2 和 CentOS 等 Linux 发行版
sudo vi /etc/httpd/conf.d/ssl.conf
适用于 Ubuntu 和 Debian 等 Linux 发行版
sudo vi /etc/apache2/mods-enabled/ssl.conf
2.在配置文件中,修改 SSLProtocol 指令以反映您要使用的 TLS 版本。在以下示例中,TLS 版本为 1.2 和 1.3。
SSLProtocol +TLSv1.2 +TLSv1.3
**注意:**仅当您的服务器中有 OpenSSL 1.1.1 时才使用 TLS 1.3。使用 openssl version 命令验证版本。
3.保存文件。按 esc,键入 :wq! 然后按 ENTER。
4.重新启动 Apache 服务:
适用于 Amazon Linux 2 和 CentOS 等 Linux 发行版
sudo systemctl restart httpd
适用于 Ubuntu 和 Debian 等 Linux 发行版
sudo systemctl restart apache2
NGINX Web 服务
1.打开配置文件:
sudo vi /etc/nginx/nginx.conf
2.在配置文件中,修改 SSLProtocol 指令以反映您要使用的 TLS 版本。在以下示例中,TLS 版本为 1.2 和 1.3。
ssl_protocols TLSv1.2 TLSv1.3;
**注意:**仅当您的服务器中有 OpenSSL 1.1.1 时才使用 TLS 1.3。使用 openssl version 命令验证版本。
3.保存文件。按 esc,键入 :wq! 然后按 ENTER。
4.重新启动 Apache 服务:
sudo systemctl restart nginx
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 个月前
