選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

解決安裝 stunnel 的問題

焦點模式
解決安裝 stunnel 的問題 - Amazon Elastic File System

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如果您無法安裝 stunnel,請嘗試停用憑證主機名稱檢查。此外,透過啟用線上憑證狀態通訊協定 (),盡可能提供最強大的安全性OCSP。

停用憑證主機名稱檢查

如果您無法安裝所需的相依性,可以選擇停用 Amazon EFS mount 協助程式組態中的憑證主機名稱檢查。我們不建議您在生產環境中停用此功能。若要停用憑證主機名稱檢查,請執行下列動作:

  1. 使用您選擇的文字編輯器,開啟 /etc/amazon/efs/efs-utils.conf 檔案。

  2. stunnel_check_cert_hostname 值設為 false。

  3. 將變更儲存到檔案並將其關閉。

如需使用傳輸中資料加密的詳細資訊,請參閱 掛載EFS檔案系統

啟用線上憑證狀態通訊協定

為了在 CA 無法從 連線時最大化檔案系統的可用性VPC,當您選擇加密傳輸中的資料時,預設不會啟用線上憑證狀態通訊協定 (OCSP)。Amazon EFS使用 Amazon 憑證授權機構 (CA) 來發行和簽署其TLS憑證,而 CA 會指示用戶端使用 OCSP 來檢查已撤銷的憑證。OCSP 端點必須透過網際網路從虛擬私有雲端存取,才能檢查憑證的狀態。在 服務中, EFS 會持續監控憑證狀態,並發出新憑證以取代其偵測到的任何撤銷憑證。

為了盡可能提供最強大的安全性,您可以啟用 ,OCSP讓您的 Linux 用戶端可以檢查已撤銷的憑證。OCSP 可防止惡意使用撤銷的憑證,這不太可能在您的 內發生VPC。如果撤銷EFSTLS憑證,Amazon 將發佈安全公告,並發行拒絕撤銷憑證的新版本的EFS掛載協助程式。

若要在 Linux 用戶端OCSP上啟用 ,以便未來所有的 TLS 連線 EFS
  1. 在您的 Linux 用戶端上開啟終端機。

  2. 使用您選擇的文字編輯器,開啟 /etc/amazon/efs/efs-utils.conf 檔案。

  3. stunnel_check_cert_validity 值設為 true。

  4. 將變更儲存到檔案並將其關閉。

將 啟用OCSP為 mount 命令的一部分
  • 在掛載檔案系統OCSP時,請使用下列掛載命令來啟用 。

    $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs
隱私權網站條款Cookie 偏好設定
© 2024, Amazon Web Services, Inc.或其附屬公司。保留所有權利。