Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Upgraden von stunnel
Die Verschlüsselung von Daten während der Übertragung mit der Amazon-EFS-Mountinghilfe erfordert OpenSSL
Version 1.0.2 oder neuer und eine Version von stunnel
, die sowohl das Online Certificate Status Protocol (OCSP) als auch die Überprüfung von Zertifikathostnamen unterstützt. Die Amazon-EFS-Mountinghilfe verwendet das stunnel
-Programm für die TLS-Funktionalität. Beachten Sie, dass einige Linux-Versionen nicht über eine Version von stunnel
verfügen, die diese TLS-Features standardmäßig unterstützt. Wenn Sie eine dieser Linux-Distributionen verwenden, schlägt das Mounten eines Amazon-EFS-Dateisystems mit TLS fehl.
Nach der Installation der Amazon-EFS-Mountinghilfe können Sie die Version von stunnel auf Ihrem System mit den folgenden Anweisungen aktualisieren.
So aktualisieren Sie stunnel
unter Amazon Linux, Amazon Linux 2 und anderen unterstützten Linux-Distributionen (mit Ausnahme von SLES 12)
-
Rufen Sie in einem Webbrowser die
stunnel
Download-Seite https://stunnel.org/downloads.htmlauf. -
Suchen Sie die neueste
stunnel
-Version, die imtar.gz
-Format verfügbar ist. Notieren Sie den Dateinamen, da Sie diesen in den folgenden Schritten benötigen. -
Öffnen Sie ein Terminal auf Ihrem Linux-Client und führen Sie die folgenden Befehle wie angegeben aus.
-
Für RPM:
sudo yum install -y gcc openssl-devel tcp_wrappers-devel
Für DEB:
sudo apt-get install build-essential libwrap0-dev libssl-dev
-
Ersetzen Sie die
neueste Stunnel-Version
mit dem Dateinamen, den Sie zuvor in Schritt 2 notiert haben.sudo curl -o
latest-stunnel-version
.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version
.tar.gz -
sudo tar xvfz
latest-stunnel-version
.tar.gz -
cd
latest-stunnel-version
/ -
sudo ./configure
-
sudo make
-
Das aktuelle
stunnel
-Paket ist inbin/stunnel
installiert. Damit die neue Version installiert werden kann, müssen Sie dieses Verzeichnis mit dem folgenden Befehl löschen.sudo rm /bin/stunnel
-
Installation der neuesten Version:
sudo make install
-
Erstellen Sie einen Symlink:
sudo ln -s /usr/local/bin/stunnel /bin/stunnel
-
Um stunnel auf macOS zu aktualisieren
-
Öffnen Sie ein Terminal auf Ihrer EC2-Mac-Instance und führen Sie den folgenden Befehl aus, um auf die neueste Version von stunnel zu aktualisieren.
brew upgrade stunnel
Stunnel für SLES 12 wird aktualisiert
Führen Sie die folgenden Befehle aus und folgen Sie den Anweisungen des zypper-Paketmanagers, um stunnel auf Ihrer Compute-Instance mit SLES12 zu aktualisieren.
sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo sudo zypper refresh sudo zypper install -y stunnel
Nachdem Sie eine Version von stunnel mit den erforderlichen Features installiert haben, können Sie Ihr Dateisystem unter Verwendung von TLS mit den von Amazon EFS empfohlenen Einstellungen mounten.
Deaktivieren der Überprüfung des Hostnamens des Zertifikats
Wenn Sie nicht in der Lage sind, die erforderlichen Abhängigkeiten zu installieren, können Sie optional die Überprüfung des Hostnamens des Zertifikats in der Konfiguration der Amazon-EFS-Mountinghilfe deaktivieren. Dies wird jedoch in Produktionsumgebungen nicht empfohlen. Gehen Sie wie folgt vor, um die Überprüfung des Hostnamens des Zertifikats zu deaktivieren:
-
Öffnen Sie mit einem Texteditor Ihrer Wahl die Datei
/etc/amazon/efs/efs-utils.conf
. -
Legen Sie für den
stunnel_check_cert_hostname
-Wert „false“ fest. -
Speichern Sie die Änderungen und schließen Sie die Datei.
Weitere Informationen zur Verwendung von Datenverschlüsselung während der Übertragung finden Sie unter Mounting von EFS-Dateisystemen.
Aktivieren des Online Certificate Status Protocol
Um die Verfügbarkeit des Dateisystems für den Fall zu maximieren, dass die Zertifizierungsstelle von Ihrer VPC aus nicht erreichbar ist, ist das Online Certificate Status Protocol (OCSP) standardmäßig nicht aktiviert, wenn Sie sich für die Verschlüsselung von Daten während der Übertragung entscheiden. Amazon EFS verwendet eine Amazon Zertifizierungsstelle
Für höchste Sicherheit können Sie OCSP so aktivieren, dass Ihre Linux-Clients eine Prüfung auf widerrufene Zertifikate ausführen können. OCSP schützt vor der bösartigen Verwendung widerrufener Zertifikate. Es ist jedoch unwahrscheinlich, dass dies innerhalb Ihrer VPC auftritt. Für den Fall, dass ein EFS-TLS-Zertifikat widerrufen wird, veröffentlicht Amazon ein Security Bulletin und es wird eine neue Version der EFS-Mountinghilfe freigegeben, die das widerrufene Zertifikat ablehnt.
So aktivieren Sie OCSP auf Ihrem Linux-Client für alle zukünftigen TLS-Verbindungen zu EFS
-
Öffnen Sie ein Terminal auf Ihrem Linux-Client.
-
Öffnen Sie mit einem Texteditor Ihrer Wahl die Datei
/etc/amazon/efs/efs-utils.conf
. -
Legen Sie den
stunnel_check_cert_validity
-Wert auf „true“ fest. -
Speichern Sie die Änderungen und schließen Sie die Datei.
So aktivieren Sie OCSP als Teil des mount
-Befehls
-
Verwenden Sie den folgenden Mounting-Befehl, um OCSP beim Mounten des Dateisystems zu aktivieren.
$
sudo mount -t efs -o tls,ocspfs-12345678
:/ /mnt/efs