Upgraden von stunnel - Amazon Elastic File System
Deaktivieren der Überprüfung des Hostnamens des ZertifikatsAktivieren des Online Certificate Status Protocol

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Upgraden von stunnel

Die Verschlüsselung von Daten während der Übertragung mit der Amazon-EFS-Mountinghilfe erfordert OpenSSL Version 1.0.2 oder neuer und eine Version von stunnel, die sowohl das Online Certificate Status Protocol (OCSP) als auch die Überprüfung von Zertifikathostnamen unterstützt. Die Amazon-EFS-Mountinghilfe verwendet das stunnel-Programm für die TLS-Funktionalität. Beachten Sie, dass einige Linux-Versionen nicht über eine Version von stunnel verfügen, die diese TLS-Features standardmäßig unterstützt. Wenn Sie eine dieser Linux-Distributionen verwenden, schlägt das Mounten eines Amazon-EFS-Dateisystems mit TLS fehl.

Nach der Installation der Amazon-EFS-Mountinghilfe können Sie die Version von stunnel auf Ihrem System mit den folgenden Anweisungen aktualisieren.

So aktualisieren Sie stunnel unter Amazon Linux, Amazon Linux 2 und anderen unterstützten Linux-Distributionen (mit Ausnahme von SLES 12)

  1. Rufen Sie in einem Webbrowser die stunnel Download-Seite https://stunnel.org/downloads.html auf.

  2. Suchen Sie die neueste stunnel-Version, die im tar.gz-Format verfügbar ist. Notieren Sie den Dateinamen, da Sie diesen in den folgenden Schritten benötigen.

  3. Öffnen Sie ein Terminal auf Ihrem Linux-Client und führen Sie die folgenden Befehle wie angegeben aus.

    1. Für RPM:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      Für DEB:

      sudo apt-get install build-essential libwrap0-dev libssl-dev

    2. Ersetzen Sie die neueste Stunnel-Version mit dem Dateinamen, den Sie zuvor in Schritt 2 notiert haben.

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make

    7. Das aktuelle stunnel-Paket ist in bin/stunnel installiert. Damit die neue Version installiert werden kann, müssen Sie dieses Verzeichnis mit dem folgenden Befehl löschen.

      sudo rm /bin/stunnel

    8. Installation der neuesten Version:

      sudo make install

    9. Erstellen Sie einen Symlink:

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
Um stunnel auf macOS zu aktualisieren

  • Öffnen Sie ein Terminal auf Ihrer EC2-Mac-Instance und führen Sie den folgenden Befehl aus, um auf die neueste Version von stunnel zu aktualisieren.

    brew upgrade stunnel
Stunnel für SLES 12 wird aktualisiert

  • Führen Sie die folgenden Befehle aus und folgen Sie den Anweisungen des zypper-Paketmanagers, um stunnel auf Ihrer Compute-Instance mit SLES12 zu aktualisieren.

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
sudo zypper refresh
sudo zypper install -y stunnel

Nachdem Sie eine Version von stunnel mit den erforderlichen Features installiert haben, können Sie Ihr Dateisystem unter Verwendung von TLS mit den von Amazon EFS empfohlenen Einstellungen mounten.

Deaktivieren der Überprüfung des Hostnamens des Zertifikats

Wenn Sie nicht in der Lage sind, die erforderlichen Abhängigkeiten zu installieren, können Sie optional die Überprüfung des Hostnamens des Zertifikats in der Konfiguration der Amazon-EFS-Mountinghilfe deaktivieren. Dies wird jedoch in Produktionsumgebungen nicht empfohlen. Gehen Sie wie folgt vor, um die Überprüfung des Hostnamens des Zertifikats zu deaktivieren:

  1. Öffnen Sie mit einem Texteditor Ihrer Wahl die Datei /etc/amazon/efs/efs-utils.conf.

  2. Legen Sie für den stunnel_check_cert_hostname-Wert „false“ fest.

  3. Speichern Sie die Änderungen und schließen Sie die Datei.

Weitere Informationen zur Verwendung von Datenverschlüsselung während der Übertragung finden Sie unter Mounting von EFS-Dateisystemen.

Aktivieren des Online Certificate Status Protocol

Um die Verfügbarkeit des Dateisystems für den Fall zu maximieren, dass die Zertifizierungsstelle von Ihrer VPC aus nicht erreichbar ist, ist das Online Certificate Status Protocol (OCSP) standardmäßig nicht aktiviert, wenn Sie sich für die Verschlüsselung von Daten während der Übertragung entscheiden. Amazon EFS verwendet eine Amazon Zertifizierungsstelle (CA), um seine TLS-Zertifikate auszustellen und zu signieren, und die CA weist den Client an, OCSP zu verwenden, um auf widerrufene Zertifikate zu prüfen. Um den Status eines Zertifikats überprüfen zu können, muss der OCSP-Endpunkt von Ihrer Virtual Private Cloud aus über das Internet zugänglich sein. Innerhalb des Service überwacht EFS den Zertifikatstatus kontinuierlich und erstellt neue Zertifikate, um widerrufene Zertifikate zu ersetzen.

Für höchste Sicherheit können Sie OCSP so aktivieren, dass Ihre Linux-Clients eine Prüfung auf widerrufene Zertifikate ausführen können. OCSP schützt vor der bösartigen Verwendung widerrufener Zertifikate. Es ist jedoch unwahrscheinlich, dass dies innerhalb Ihrer VPC auftritt. Für den Fall, dass ein EFS-TLS-Zertifikat widerrufen wird, veröffentlicht Amazon ein Security Bulletin und es wird eine neue Version der EFS-Mountinghilfe freigegeben, die das widerrufene Zertifikat ablehnt.

So aktivieren Sie OCSP auf Ihrem Linux-Client für alle zukünftigen TLS-Verbindungen zu EFS

  1. Öffnen Sie ein Terminal auf Ihrem Linux-Client.

  2. Öffnen Sie mit einem Texteditor Ihrer Wahl die Datei /etc/amazon/efs/efs-utils.conf.

  3. Legen Sie den stunnel_check_cert_validity-Wert auf „true“ fest.

  4. Speichern Sie die Änderungen und schließen Sie die Datei.

So aktivieren Sie OCSP als Teil des mount-Befehls

  • Verwenden Sie den folgenden Mounting-Befehl, um OCSP beim Mounten des Dateisystems zu aktivieren. 

    
       $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs