기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
stunnel을 설치할 수 없는 경우 인증서 호스트 이름 확인을 비활성화해 보세요. 또한 온라인 인증서 상태 프로토콜(OCSP)을 활성화하여 가능한 가장 강력한 보안을 제공하세요.
인증서 호스트 이름 확인 비활성화
필수 종속성을 설치할 수 없는 경우, Amazon EFS 탑재 도우미 구성 내 인증서 호스트 이름 확인을 선택적으로 비활성화할 수 있습니다. 프로덕션 환경에서는 이 기능을 비활성화하지 않는 것이 좋습니다. 인증서 호스트 이름 확인을 비활성화하려면 다음을 수행하세요.
-
선택한 텍스트 편집기를 사용해
/etc/amazon/efs/efs-utils.conf파일을 엽니다. -
stunnel_check_cert_hostname값을 false로 설정합니다. -
파일 변경 사항을 저장하고 닫습니다.
전송 중 데이터 암호화 사용에 대한 자세한 내용은 EFS 파일 시스템 탑재 섹션을 참조하세요.
온라인 인증서 상태 프로토콜 활성화
VPC에서 CA에 연결할 수 없는 경우 파일 시스템 가용성을 극대화하기 위해 전송 중 데이터를 암호화하도록 선택하면 OCSP(온라인 인증서 상태 프로토콜)가 기본적으로 활성화되지 않습니다. Amazon EFS는 Amazon 인증 기관
가장 강력한 보안을 제공하기 위해 Linux 클라이언트가 취소된 인증서를 확인할 수 있도록 OCSP를 활성화할 수 있습니다. VPC 내에서 이러한 일이 발생할 가능성은 없지만, OCSP는 해지된 인증서가 악의적으로 사용되지 않도록 보호합니다. EFS TLS 인증서가 취소되면 Amazon이 보안 공지를 게시하고 취소된 인증서를 거부하는 새로운 버전의 EFS 탑재 도우미를 출시합니다.
EFS와의 향후 모든 TLS 연결을 위해 Linux 클라이언트에서 OCSP 활성화
-
Linux 클라이언트에서 터미널을 엽니다.
-
선택한 텍스트 편집기를 사용해
/etc/amazon/efs/efs-utils.conf파일을 엽니다. -
stunnel_check_cert_validity값을 true로 설정합니다. -
파일 변경 사항을 저장하고 닫습니다.
mount 명령의 일부로 OCSP 활성화
-
파일 시스템을 탑재할 때 다음 탑재 명령을 사용하여 OCSP를 활성화합니다.
$sudo mount -t efs -o tls,ocspfs-12345678:/ /mnt/efs
