翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
stunnel をインストールできない場合は、証明書ホスト名のチェックを無効にしてみてください。さらに、オンライン証明書ステータスプロトコル (OCSP) を有効にして、可能な限りセキュリティを強化してください。
証明書ホスト名のチェックの無効化
必要な依存関係をインストールできない場合、Amazon EFS マウントヘルパー設定で、必要に応じて証明書ホスト名チェックを無効にできます。実稼働環境でこれらの機能を無効にすることはお勧めしません。証明書ホスト名チェックを無効にするには、次の操作を行います。
-
任意のテキストエディタを使用して、
/etc/amazon/efs/efs-utils.confファイルを開きます。 -
stunnel_check_cert_hostname値を false に設定します。 -
変更をファイルに保存して閉じます。
転送中のデータの暗号化の使用の詳細については、EFS ファイルシステムをマウントする を参照してください。
オンライン証明書ステータスプロトコルの有効化
VPC から CA にアクセスできない場合のファイルシステムの可用性を最大化するため、転送中のデータの暗号化を選択した場合、オンライン証明書ステータスプロトコル (OCSP) はデフォルトでは有効になりません。Amazon EFS は Amazon 認証機関
可能な限り強力なセキュリティを提供するため、OCSP を有効にできます。これにより、Linux クライアントは失効した証明書を確認することができます。OCSP は失効した証明書の悪用を防止しますが、それが VPC 内部で発生する可能性はほとんどありません。EFS TLS 証明書が失効した場合、Amazon はセキュリティ情報を発行し、失効した証明書を拒否する新しいバージョンの EFS マウントヘルパーをリリースします。
以降のすべての EFS への TLS 接続において、Linux クライアントで OCSP を有効にするには
-
Linux クライアントのターミナルを開きます。
-
任意のテキストエディタを使用して、
/etc/amazon/efs/efs-utils.confファイルを開きます。 -
stunnel_check_cert_validityの値を true に設定します。 -
変更をファイルに保存して閉じます。
mount コマンドの一部として OCSP を有効にするには
-
次のマウントコマンドを使用して、ファイルシステムをマウントするときに OCSP を有効にします。
$sudo mount -t efs -o tls,ocspfs-12345678:/ /mnt/efs
