升級 stunnel - Amazon Elastic File System
停用憑證主機名稱檢查啟用線上憑證狀態通訊協定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

升級 stunnel

使用 Amazon EFS 掛載協助程式對傳輸中的資料進行加密時,需要 OpenSSL 版本 1.0.2 或更新版本,同時需要支援線上憑證狀態通訊協定 (OCSP) 和憑證主機名稱檢查的 stunnel 版本。Amazon EFS 掛載協助程式使用其 TLS 功能的 stunnel 程式。注意某些版本的 Linux 操作系統,預設下不包含 stunnel 支援 TLS 功能的版本。使用其中一個 Linux 發行版本時,藉助 TLS 來掛載 Amazon EFS 檔案系統會失敗。

在安裝 Amazon EFS 掛載協助程式後,您可以透過下列指示來升級系統版本 stunnel。

在 Amazon Linux、Amazon Linux 2 和其他支援的 Linux 發行版本 (除了 SLES 12) 上升級 stunnel

  1. 在網頁瀏覽器中,前往 stunnel 下載頁面 https://stunnel.org/downloads.html

  2. 尋找以 tar.gz 格式提供的 stunnel 最新版本。請記下檔案名稱,您會需要在後續步驟中用到。

  3. 開啟 Linux 用戶端的終端機,依顯示順序執行下列命令。

    1. 對於 RPM:

      sudo yum install -y gcc openssl-devel tcp_wrappers-devel

      對於 DEB:

      sudo apt-get install build-essential libwrap0-dev libssl-dev

    2. latest-stunnel-version 取代為您在稍早步驟 2 中記下的檔案名稱。

      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
    3. sudo tar xvfz latest-stunnel-version.tar.gz
    4. cd latest-stunnel-version/
    5. sudo ./configure
    6. sudo make

    7. 目前的 stunnel 套件已安裝在 bin/stunnel 中。因此,您可以安裝新版本,請使用下列命令移除該目錄。

      sudo rm /bin/stunnel

    8. 若要安裝最新版本:

      sudo make install

    9. 創建 symlink:

      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
若要在 macOS 上升級 stunnel

  • 在 EC2 Mac 執行個體上開啟終端機,然後執行下列命令以升級至最新版本的 stunnel。

    brew upgrade stunnel
在 SLES 12 上升級 stunnel

  • 執行下列指令,並依照 zypper 套件管理員指示,在執行 SLES12 的運算執行個體上升級 stunnel。

    sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
sudo zypper refresh
sudo zypper install -y stunnel

使用所需的功能安裝的某個版本 stunnel 後,您可以使用 TLS 掛載檔案系統與 Amazon EFS 建議的設定。

停用憑證主機名稱檢查

如果您無法安裝所需的相依性,您可以在 Amazon EFS 掛載協助程式組態中選擇性地停用憑證主機名稱檢查。我們不建議您在生產環境中停用此功能。若要停用憑證主機名稱檢查,請執行下列動作:

  1. 使用您選擇的文字編輯器,開啟 /etc/amazon/efs/efs-utils.conf 檔案。

  2. stunnel_check_cert_hostname 值設為 false。

  3. 將變更儲存到檔案並將其關閉。

如需使用傳輸中資料加密的詳細資訊,請參閱 掛載 EFS 檔案系統

啟用線上憑證狀態通訊協定

為了在無法從 VPC 存取 CA 時,讓檔案系統可用性最大化,當您選擇加密傳輸中的資料時,線上憑證狀態通訊協定 (OCSP) 預設不會啟用。Amazon EFS 會使用 Amazon 憑證授權(CA) 來發行和簽署其 TLS 憑證,而 CA 則會指示用戶端使用 OCSP 檢查已撤銷的憑證。OCSP 端點必須可以透過網際網路,從您的 Virtual Private Cloud 存取,以便檢查憑證的狀態。在服務內,EFS 會持續監控憑證狀態並核發新的憑證,以取代任何它所偵測到的已撤銷憑證。

為了盡可能提供最強的安全,您可以啟用 OCSP,讓您的 Linux 用戶端可以檢查已撤銷憑證。OCSP 可保護不受惡意使用已撤銷憑證的危害,雖然這種情況在您的 VPC 中極為罕見。如果 EFS TLS 憑證已撤銷,Amazon 會發佈資訊安全公告,並且發行新版本的 EFS 掛載協助程式,該協助程式會拒絕已撤銷的憑證。

在您的 Linux 用戶端上針對所有未來與 EFS 的 TLS 連線啟用 OCSP

  1. 在您的 Linux 用戶端上開啟終端機。

  2. 使用您選擇的文字編輯器,開啟 /etc/amazon/efs/efs-utils.conf 檔案。

  3. stunnel_check_cert_validity 值設為 true。

  4. 將變更儲存到檔案並將其關閉。

mount 命令中啟用 OCSP

  • 在掛載檔案系統時,使用以下掛載命令啟用 OCSP。

    
       $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs