Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

64.9. Apache HTTP 서버에서 지원되는 암호 설정

기본적으로 Apache HTTP 서버는 최근 브라우저와 호환되는 안전한 기본값을 정의하는 시스템 전체 암호화 정책을 사용합니다. 시스템 전체 암호화에서 허용하는 암호 목록은 /etc/crypto-policies/back-ends/openssl.config 파일을 참조하십시오.

이 섹션에서는 my_company.idm.example.com Apache HTTP 서버에서 지원하는 암호를 수동으로 구성하는 방법에 대해 설명합니다. 환경에 특정 암호가 필요한 경우 절차를 따릅니다.

사전 요구 사항

절차

  1. /etc/httpd/conf/httpd.conf 파일을 편집하고 TLS 암호를 설정하려는 <VirtualHost> 지시문에 SSLCipherSuite 매개변수를 추가합니다.

    SSLCipherSuite "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!SHA1:!SHA256"

    이 예에서는 EECDH+AESGCM,EDH+AESGCM,AES256+EECDHAES256+EDH 암호화만 활성화하고 SHA1 및 SHA 256 메시지 인증 코드(MAC)를 사용하는 모든 암호를 비활성화합니다.

  2. httpd 서비스를 다시 시작하십시오.

    # systemctl restart httpd

검증 단계

  1. 암호 목록을 표시하려면 Apache HTTP Server에서 지원하는 암호 목록을 표시합니다.

    1. nmap 패키지를 설치합니다.

      # yum install nmap
    2. nmap 유틸리티를 사용하여 지원되는 암호를 표시합니다.

      # nmap --script ssl-enum-ciphers -p 443 example.com
      ...
      PORT    STATE SERVICE
      443/tcp open  https
      | ssl-enum-ciphers:
      |   TLSv1.2:
      |     ciphers:
      |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
      |       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
      |       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
      ...

추가 리소스

  • 시스템 전체 암호화 정책에 대한 자세한 내용은 update-crypto-policies(8) 도움말 페이지 및 시스템 전체 암호화 정책 사용을 참조하십시오.
  • SSLCipherSuite 매개변수에 대한 자세한 내용은 Apache 설명서의 mod_ssl 설명서를 참조하십시오. 설명서 설치에 대한 자세한 내용은 Apache HTTP Server 설명서 설치를 참조하십시오.