本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如果您無法安裝 stunnel,請嘗試停用憑證主機名稱檢查。此外,透過啟用線上憑證狀態通訊協定 (OCSP),盡可能提供最強大的安全性。
停用憑證主機名稱檢查
如果您無法安裝所需的相依性,您可以在 Amazon EFS 掛載協助程式組態中選擇性地停用憑證主機名稱檢查。我們不建議您在生產環境中停用此功能。若要停用憑證主機名稱檢查,請執行下列動作:
-
使用您選擇的文字編輯器,開啟
/etc/amazon/efs/efs-utils.conf檔案。 -
將
stunnel_check_cert_hostname值設為 false。 -
將變更儲存到檔案並將其關閉。
如需使用傳輸中資料加密的詳細資訊,請參閱 掛載 EFS 檔案系統。
啟用線上憑證狀態通訊協定
為了在無法從 VPC 存取 CA 時,讓檔案系統可用性最大化,當您選擇加密傳輸中的資料時,線上憑證狀態通訊協定 (OCSP) 預設不會啟用。Amazon EFS 會使用 Amazon 憑證授權
為了盡可能提供最強的安全,您可以啟用 OCSP,讓您的 Linux 用戶端可以檢查已撤銷憑證。OCSP 可保護不受惡意使用已撤銷憑證的危害,雖然這種情況在您的 VPC 中極為罕見。如果 EFS TLS 憑證遭到撤銷,Amazon 會發佈安全公告,並發行拒絕已撤銷憑證的新版本的 EFS 掛載協助程式。
在您的 Linux 用戶端上針對所有未來與 EFS 的 TLS 連線啟用 OCSP
-
在您的 Linux 用戶端上開啟終端機。
-
使用您選擇的文字編輯器,開啟
/etc/amazon/efs/efs-utils.conf檔案。 -
將
stunnel_check_cert_validity值設為 true。 -
將變更儲存到檔案並將其關閉。
在 mount 命令中啟用 OCSP
-
在掛載檔案系統時,使用以下掛載命令啟用 OCSP。
$sudo mount -t efs -o tls,ocspfs-12345678:/ /mnt/efs
