Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Résolution des problèmes liés à l'installation de Stunnel

PDF
RSS
Mode de mise au point
Résolution des problèmes liés à l'installation de Stunnel - Amazon Elastic File System
Désactivation de la vérification du nom d’hôte du certificatActivation du protocole de vérification en ligne de certificat (OCSP)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Si vous ne parvenez pas à installer Stunnel, essayez de désactiver la vérification du nom d'hôte du certificat. En outre, offrez le niveau de sécurité le plus élevé possible en activant le protocole OCSP (Online Certificate Status Protocol).

Désactivation de la vérification du nom d’hôte du certificat

Si vous ne pouvez pas installer les dépendances requises, vous pouvez désactiver la vérification du nom d’hôte du certificat dans la configuration d’assistant de montage Amazon EFS. Nous vous déconseillons de désactiver cette fonction dans les environnements de production. Pour désactiver la vérification du nom d’hôte du certificat, procédez comme suit :

  1. Dans l’éditeur de texte de votre choix, ouvrez le fichier /etc/amazon/efs/efs-utils.conf.

  2. Définissez la valeur de stunnel_check_cert_hostname sur false.

  3. Enregistrez les modifications du fichier, puis fermez-le.

Pour plus d’informations sur l’utilisation du chiffrement des données en transit, consultez Montage des systèmes de fichiers EFS.

Activation du protocole de vérification en ligne de certificat (OCSP)

Afin de maximiser la disponibilité du système de fichiers si l’autorité de certification n’est pas accessible depuis votre VPC, le protocole OCSP (Online Certificate Status Protocol) n’est pas activé par défaut lorsque vous choisissez de chiffrer les données en transit. Amazon EFS utilise une autorité de certification (CA) Amazon pour émettre et signer ses certificats TLS, et l’autorité de certification demande au client d’utiliser le protocole OCSP pour vérifier les certificats révoqués. Le point de terminaison OCSP doit être accessible via Internet à partir de votre Virtual Private Cloud afin de vérifier le statut d’un certificat. Dans le cadre du service, EFS surveille en permanence le statut du certificat et émet de nouveaux certificats pour remplacer les certificats révoqués qu’il détecte.

Afin de vous assurer de la meilleure sécurité possible, vous pouvez activer OCSP de sorte que vos clients Linux puissent vérifier les certificats révoqués. OCSP protège contre l’utilisation malveillante des certificats révoqués, ce qui est peu probable dans votre VPC. Si un certificat TLS EFS est révoqué, Amazon publie un bulletin de sécurité et met à disposition une nouvelle version de l’assistant de montage EFS qui rejette le certificat révoqué.

Pour activer OCSP sur votre client Linux pour toutes les futures connexions TLS à EFS

  1. Ouvrez un terminal sur votre client Linux.

  2. Dans l’éditeur de texte de votre choix, ouvrez le fichier /etc/amazon/efs/efs-utils.conf.

  3. Définissez la valeur de stunnel_check_cert_validity sur true.

  4. Enregistrez les modifications du fichier, puis fermez-le.

Pour activer OCSP dans le cadre de la commande mount

  • Utilisez la commande mount suivante pour activer OCSP lors du montage du système de fichiers. 

    
       $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.