本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如果您無法安裝 stunnel,請嘗試停用憑證主機名稱檢查。此外,透過啟用線上憑證狀態通訊協定 (),盡可能提供最強大的安全性OCSP。
停用憑證主機名稱檢查
如果您無法安裝所需的相依性,可以選擇停用 Amazon EFS mount 協助程式組態中的憑證主機名稱檢查。我們不建議您在生產環境中停用此功能。若要停用憑證主機名稱檢查,請執行下列動作:
-
使用您選擇的文字編輯器,開啟
/etc/amazon/efs/efs-utils.conf
檔案。 -
將
stunnel_check_cert_hostname
值設為 false。 -
將變更儲存到檔案並將其關閉。
如需使用傳輸中資料加密的詳細資訊,請參閱 掛載EFS檔案系統。
啟用線上憑證狀態通訊協定
為了在 CA 無法從 連線時最大化檔案系統的可用性VPC,當您選擇加密傳輸中的資料時,預設不會啟用線上憑證狀態通訊協定 (OCSP)。Amazon EFS使用 Amazon 憑證授權機構
為了盡可能提供最強大的安全性,您可以啟用 ,OCSP讓您的 Linux 用戶端可以檢查已撤銷的憑證。OCSP 可防止惡意使用撤銷的憑證,這不太可能在您的 內發生VPC。如果撤銷EFSTLS憑證,Amazon 將發佈安全公告,並發行拒絕撤銷憑證的新版本的EFS掛載協助程式。
若要在 Linux 用戶端OCSP上啟用 ,以便未來所有的 TLS 連線 EFS
-
在您的 Linux 用戶端上開啟終端機。
-
使用您選擇的文字編輯器,開啟
/etc/amazon/efs/efs-utils.conf
檔案。 -
將
stunnel_check_cert_validity
值設為 true。 -
將變更儲存到檔案並將其關閉。
將 啟用OCSP為 mount
命令的一部分
-
在掛載檔案系統OCSP時,請使用下列掛載命令來啟用 。
$
sudo mount -t efs -o tls,ocspfs-12345678
:/ /mnt/efs