Upgrade stunnel - Amazon Elastic File System
Menonaktifkan Pemeriksaan Nama Host Sertifikat Mengaktifkan Protokol Status Sertifikat Online

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Upgrade stunnel

Enkripsi data dalam perjalanan dengan Amazon EFS mount helper memerlukan OpenSSL versi 1.0.2 atau yang lebih baru, dan versi stunnel yang mendukung pemeriksaan Online Certificate Status Protocol (OCSP) dan sertifikat hostname. Pembantu pemasangan Amazon EFS menggunakan stunnel program ini untuk fungsionalitas TLS-nya. Perhatikan bahwa beberapa versi Linux tidak menyertakan versi stunnel yang mendukung fitur TLS ini secara default. Saat menggunakan salah satu distribusi Linux tersebut, pemasangan sistem file Amazon EFS menggunakan TLS gagal.

Setelah menginstal helper mount Amazon EFS, Anda dapat memutakhirkan versi stunnel sistem Anda dengan instruksi berikut.

Untuk meningkatkan stunnel di Amazon Linux, Amazon Linux 2, dan distribusi Linux lain yang didukung (kecuali untuk SLES 12)

  1. Di browser web, buka halaman stunnel unduhan https://stunnel.org/downloads.html.

  2. Temukan stunnel versi terbaru yang tersedia dalam tar.gz format. Perhatikan nama file karena Anda akan membutuhkannya dalam langkah-langkah berikut.

  3. Buka terminal pada klien Linux Anda, dan jalankan perintah berikut dalam urutan yang disajikan.

    1. Untuk RPM:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      Untuk DEB:

      sudo apt-get install build-essential libwrap0-dev libssl-dev

    2. Ganti latest-stunnel-versiondengan nama file yang Anda catat sebelumnya di Langkah 2.

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make

    7. stunnelPaket saat ini diinstal dibin/stunnel. Agar versi baru dapat diinstal, hapus direktori itu dengan perintah berikut.

      sudo rm /bin/stunnel

    8. Instal versi terbaru:

      sudo make install

    9. Buat symlink:

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
Untuk meningkatkan stunnel di macOS

  • Buka terminal pada instans EC2 Mac Anda, dan jalankan perintah berikut untuk meningkatkan ke versi terbaru stunnel.

    brew upgrade stunnel
Upgrade stunnel untuk SLES 12

  • Jalankan perintah berikut dan ikuti instruksi pengelola paket zypper untuk memutakhirkan stunnel pada instance komputasi Anda yang menjalankan SLES12.

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
sudo zypper refresh
sudo zypper install -y stunnel

Setelah menginstal versi stunnel dengan fitur yang diperlukan, Anda dapat memasang sistem file menggunakan TLS dengan pengaturan yang direkomendasikan Amazon EFS.

Menonaktifkan Pemeriksaan Nama Host Sertifikat

Jika Anda tidak dapat menginstal dependensi yang diperlukan, Anda dapat menonaktifkan pemeriksaan nama host sertifikat di dalam konfigurasi mount helper Amazon EFS. Kami tidak menyarankan Anda menonaktifkan fitur ini di lingkungan produksi. Untuk menonaktifkan pemeriksaan nama host sertifikat, lakukan hal berikut:

  1. Menggunakan editor teks pilihan Anda, buka /etc/amazon/efs/efs-utils.conf file.

  2. Tetapkan stunnel_check_cert_hostname nilainya ke false.

  3. Simpan perubahan ke file dan tutup.

Untuk informasi selengkapnya tentang penggunaan enkripsi data dalam perjalanan, lihatMemasang sistem file EFS.

Mengaktifkan Protokol Status Sertifikat Online

Untuk memaksimalkan ketersediaan sistem file jika CA tidak dapat dijangkau dari VPC Anda, Protokol Status Sertifikat Online (OCSP) tidak diaktifkan secara default saat Anda memilih untuk mengenkripsi data dalam perjalanan. Amazon EFS menggunakan otoritas sertifikat Amazon (CA) untuk menerbitkan dan menandatangani sertifikat TLS, dan CA menginstruksikan klien untuk menggunakan OCSP untuk memeriksa sertifikat yang dicabut. Titik akhir OCSP harus dapat diakses melalui Internet dari Virtual Private Cloud Anda untuk memeriksa status sertifikat. Dalam layanan, EFS terus memantau status sertifikat, dan mengeluarkan sertifikat baru untuk menggantikan sertifikat yang dicabut yang dideteksi.

Untuk memberikan keamanan sekuat mungkin, Anda dapat mengaktifkan OCSP sehingga klien Linux Anda dapat memeriksa sertifikat yang dicabut. OCSP melindungi dari penggunaan berbahaya sertifikat yang dicabut, yang tidak mungkin terjadi dalam VPC Anda. Jika sertifikat EFS TLS dicabut, Amazon akan menerbitkan buletin keamanan dan merilis versi baru EFS mount helper yang menolak sertifikat yang dicabut.

Untuk mengaktifkan OCSP pada klien Linux Anda untuk semua koneksi TLS future ke EFS

  1. Buka terminal di klien Linux Anda.

  2. Menggunakan editor teks pilihan Anda, buka /etc/amazon/efs/efs-utils.conf file.

  3. Tetapkan stunnel_check_cert_validity nilainya ke true.

  4. Simpan perubahan ke file dan tutup.

Untuk mengaktifkan OCSP sebagai bagian dari perintah mount

  • Gunakan perintah mount berikut untuk mengaktifkan OCSP saat memasang sistem file. 

    
       $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs