stunnel のインストールに関する問題の解決

stunnel をインストールできない場合は、証明書のホスト名チェックを無効にしてみてください。さらに、オンライン証明書ステータスプロトコル () を有効にして、可能な限り強力なセキュリティを提供しますOCSP。

証明書ホスト名のチェックの無効化

必要な依存関係をインストールできない場合は、オプションで Amazon EFSマウントヘルパー設定内の証明書ホスト名チェックを無効にすることができます。実稼働環境でこれらの機能を無効にすることはお勧めしません。証明書ホスト名チェックを無効にするには、次の操作を行います。

1. 任意のテキストエディタを使用して、/etc/amazon/efs/efs-utils.conf ファイルを開きます。

2. stunnel_check_cert_hostname 値を false に設定します。

3. 変更をファイルに保存して閉じます。

転送中のデータの暗号化の使用の詳細については、EFS ファイルシステムのマウント を参照してください。

オンライン証明書ステータスプロトコルの有効化

CA が から到達できない場合にファイルシステムの可用性を最大化するためにVPC、転送中のデータを暗号化することを選択した場合、オンライン証明書ステータスプロトコル (OCSP) はデフォルトで有効になっていません。Amazon EFSは Amazon 認証局 (CA) を使用してTLS証明書を発行および署名し、CA はクライアントOCSPに を使用して取り消された証明書を確認するよう指示します。証明書のステータスを確認するには、仮想プライベートクラウドからインターネット経由でOCSPエンドポイントにアクセスできる必要があります。サービス内では、 は証明書のステータスEFSを継続的にモニタリングし、検出された失効した証明書を置き換えるために新しい証明書を発行します。

可能な限り強力なセキュリティを提供するために、Linux クライアントが取り消された証明書をチェックOCSPできるように を有効にできます。OCSP は、 内で発生する可能性が低い、取り消された証明書の悪意のある使用から保護しますVPC。EFS TLS 証明書が取り消された場合、Amazon はセキュリティ情報を発行し、取り消された証明書を拒否するマウントEFSヘルパーの新しいバージョンをリリースします。

への今後のすべてのTLS接続で Linux クライアントOCSPで を有効にするには EFS

1. Linux クライアントのターミナルを開きます。

2. 任意のテキストエディタを使用して、/etc/amazon/efs/efs-utils.conf ファイルを開きます。

3. stunnel_check_cert_validity の値を true に設定します。

4. 変更をファイルに保存して閉じます。

mount コマンドOCSPの一部として を有効にするには

• ファイルシステムをマウントOCSPするときに を有効にするには、次のマウントコマンドを使用します。

  
         $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs