本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如果您无法安装 stunnel,请尝试禁用证书主机名检查。此外,请启用在线证书状态协议(OCSP)以提供尽可能强的安全性。
禁用证书主机名检查
如果无法安装所需的依赖项,您可以选择在 Amazon EFS 挂载帮助程序配置中禁用证书主机名检查。我们建议您不要在生产环境中禁用此功能。要禁用证书主机名检查,请执行以下操作:
-
使用所选的文本编辑器打开
/etc/amazon/efs/efs-utils.conf文件。 -
将
stunnel_check_cert_hostname值设置为 false。 -
保存对该文件的更改,然后关闭该文件。
有关使用传输中的数据加密的更多信息,请参阅挂载 EFS 文件系统。
启用在线证书状态协议
为了在无法从您的 VPC 访问 CA 时最大限度地提高文件系统的可用性,当您选择加密传输中数据时,默认情况下不启用在线证书状态协议(OCSP)。Amazon EFS 使用 Amazon 证书颁发机构
为了提供最高安全性,您可以启用 OCSP,以便 Linux 客户端可以检查撤销的证书。OCSP 可防止恶意使用已撤销的证书,这种情况不太可能发生在您的 VPC 中。如果撤销 EFS TLS 证书,Amazon 将发布安全公告,并发布拒绝已撤销的证书的新版 EFS 挂载帮助程序。
在 Linux 客户端上启用 OCSP,以便将来都可以与 EFS 建立 TLS 连接
-
打开 Linux 客户端上的一个终端。
-
使用所选的文本编辑器打开
/etc/amazon/efs/efs-utils.conf文件。 -
将
stunnel_check_cert_validity值设置为 true。 -
保存对该文件的更改,然后关闭该文件。
在 mount 命令中启用 OCSP
-
使用以下挂载命令在挂载文件系统时启用 OCSP。
$sudo mount -t efs -o tls,ocspfs-12345678:/ /mnt/efs
