Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Risoluzione dei problemi con l'installazione di stunnel

PDF
RSS
Modalità Focus
Risoluzione dei problemi con l'installazione di stunnel - Amazon Elastic File System
Disabilitazione della verifica del certificato associato al nome dell'hostAbilitazione di OCSP (Online Certificate Status Protocol)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Se non riesci a installare stunnel, prova a disabilitare il controllo del nome host del certificato. Inoltre, offri la massima sicurezza possibile abilitando l'Online Certificate Status Protocol (OCSP).

Disabilitazione della verifica del certificato associato al nome dell'host

Se non riesci a installare le dipendenze necessarie, è possibile disabilitare facoltativamente la verifica del certificato associato al nome dell'host all'interno della configurazione dell'helper di montaggio di Amazon EFS. Non è consigliabile disabilitare questa funzione in ambienti di produzione. Per disabilitare la verifica del certificato associato al nome dell'host, procedere nel seguente modo:

  1. Utilizzando un editor di testo a scelta, aprire il file /etc/amazon/efs/efs-utils.conf.

  2. Impostare il parametro stunnel_check_cert_hostname su falso.

  3. Salvare le modifiche e chiudere il file.

Per maggiori informazione sull'utilizzo della crittografia dei dati in transito, vedere Montaggio dei file system EFS.

Abilitazione di OCSP (Online Certificate Status Protocol)

Per massimizzare la disponibilità del file system nel caso in cui la CA non sia raggiungibile dal VPC, l'Online Certificate Status Protocol (OCSP) non è abilitato per impostazione predefinita quando si sceglie di crittografare i dati in transito. Amazon EFS utilizza un'autorità di certificazione (CA) Amazon per emettere e firmare i propri certificati TLS e la CA ordina al client di utilizzare OCSP per verificare la presenza di certificati revocati. L'endpoint OCSP deve essere accessibile su Internet tramite il Virtual Private Cloud (VPC) per poter verificare lo stato di un certificato. All'interno del servizio, Amazon EFS monitora continuamente lo stato dei certificati ed emette nuovi certificati per sostituire i certificati revocati rilevati.

Per offrire la massima sicurezza possibile, puoi abilitare OCSP in modo tale che i client Linux possano verificare la presenza di certificati revocati. OCSP protegge dall'uso dannoso dei certificati revocati, il che è improbabile che si verifichi nel VPC. Nel caso in cui un certificato EFS TLS venga revocato, Amazon pubblica un bollettino sulla sicurezza e rilascia una nuova versione di EFS mount helper che rifiuta il certificato revocato.

Per abilitare OCSP sul tuo client Linux per tutte le connessioni TLS future a EFS

  1. Aprire un terminale sul client Linux.

  2. Utilizzando un editor di testo a scelta, aprire il file /etc/amazon/efs/efs-utils.conf.

  3. Impostare il valore stunnel_check_cert_validity su true.

  4. Salvare le modifiche e chiudere il file.

Per abilitare OCSP come parte del comando mount

  • Utilizzare il seguente comando mount per abilitare OCSP durante il montaggio del file system. 

    
       $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.