stunnel のアップグレード - Amazon Elastic File System
証明書ホスト名のチェックの無効化オンライン証明書ステータスプロトコルの有効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

stunnel のアップグレード

Amazon EFS マウントヘルパーによる転送中のデータの暗号化は、OpenSSL バージョン 1.0.2 以降、および オンライン証明書ステータスプロトコル (OCSP) と証明書ホスト名チェックの両方をサポートする stunnel のバージョンが必要です。Amazon EFS マウントヘルパーは、TLS 機能の stunnel プログラムを使用します。Linux のバージョンによっては、これらの TLS 機能をサポートする stunnel のバージョンがデフォルトで含まれていない場合があることに注意してください。これらの Linuxディストリビューションのいずれかを使用する場合、TLS を使用する Amazon EFS ファイルシステムのマウントが失敗します。

Amazon EFS マウントヘルパーをインストールした後、stunnel のシステムのバージョンをアップグレードするには、次の手順を実行します。

Amazon Linux、Amazon Linux 2、およびサポートされている Linux ディストリビューションで stunnel をアップグレードするには (SLES 12 を除く)

  1. ウェブブラウザで、stunnel ダウンロードページhttps://stunnel.org/downloads.html に進みます。

  2. tar.gz 形式で利用可能な最新 stunnel バージョンを検索します。ファイル名をメモしておきます。この名前は以降のステップで必要になります。

  3. Linux クライアントでターミナルを開き、記載されている順にコマンドを実行します。

    1. RPM の場合:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      DEB の場合:

      sudo apt-get install build-essential libwrap0-dev libssl-dev

    2. latest-stunnel-version を、ステップ 2 で書き留めておいたファイル名に置き換えます。

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make

    7. 現在の stunnel パッケージは bin/stunnel にインストールされています。したがって、新しいバージョンをインストールするには、次のコマンドを使用してそのディレクトリを削除します。

      sudo rm /bin/stunnel

    8. 最新バージョンをインストールします。

      sudo make install

    9. シンボリックリンクを作成します。

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
macOS で stunnel をアップグレードするには

  • EC2 Mac インスタンスでターミナルを開き、次のコマンドを実行して、stunnel の最新バージョンにアップグレードします。

    brew upgrade stunnel
SLES 12 の stunnel のアップグレード

  • 次のコマンドを実行し、zypper パッケージマネージャーの指示に従って、SLES12 を実行しているコンピューティングインスタンスで stunnel をアップグレードします。

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
sudo zypper refresh
sudo zypper install -y stunnel

必要な機能のある stunnel のバージョンをインストールした後、推奨される設定で Amazon EFS とTLS を使用してファイルシステムをマウントできます。

証明書ホスト名のチェックの無効化

必要な依存関係をインストールできない場合、Amazon EFS マウントヘルパー設定で、必要に応じて証明書ホスト名チェックを無効にできます。実稼働環境でこれらの機能を無効にすることはお勧めしません。証明書ホスト名チェックを無効にするには、次の操作を行います。

  1. 任意のテキストエディタを使用して、/etc/amazon/efs/efs-utils.conf ファイルを開きます。

  2. stunnel_check_cert_hostname 値を false に設定します。

  3. 変更をファイルに保存して閉じます。

転送中のデータの暗号化の使用の詳細については、EFS ファイルシステムをマウントする を参照してください。

オンライン証明書ステータスプロトコルの有効化

VPC から CA にアクセスできない場合のファイルシステムの可用性を最大化するため、転送中のデータの暗号化を選択した場合、オンライン証明書ステータスプロトコル (OCSP) はデフォルトでは有効になりません。Amazon EFS は Amazon 認証機関 (CA) を使用して、TLS 証明書を発行して署名し、CA は OCSP を使用して失効した証明書をチェックするようにクライアントに指示します。OCSP エンドポイントは、証明書のステータスを確認するため、仮想プライベートクラウドからインターネット経由でアクセスできる必要があります。EFS は、サービス内で継続的に証明書のステータスをモニタリングします。失効した証明書が検出された場合、EFS は新しい証明書を発行してその証明書を置き換えます。

可能な限り強力なセキュリティを提供するため、OCSP を有効にできます。これにより、Linux クライアントは失効した証明書を確認することができます。OCSP は失効した証明書の悪用を防止しますが、それが VPC 内部で発生する可能性はほとんどありません。EFS TLS 証明書が失効した場合、Amazon はセキュリティ情報を発行し、失効した証明書を拒否する新しいバージョンの EFS マウントヘルパーをリリースします。

以降のすべての EFS への TLS 接続において、Linux クライアントで OCSP を有効にするには

  1. Linux クライアントのターミナルを開きます。

  2. 任意のテキストエディタを使用して、/etc/amazon/efs/efs-utils.conf ファイルを開きます。

  3. stunnel_check_cert_validity の値を true に設定します。

  4. 変更をファイルに保存して閉じます。

mount コマンドの一部として OCSP を有効にするには

  • 次のマウントコマンドを使用して、ファイルシステムをマウントするときに OCSP を有効にします。

    
       $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs