Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Risoluzione dei problemi con l'installazione di stunnel
<a name="stunnel-issues"></a>

Se non riesci a installare stunnel, prova a disabilitare il controllo del nome host del certificato. Inoltre, offri la massima sicurezza possibile abilitando l'Online Certificate Status Protocol (OCSP). 

**Topics**
+ [Disabilitazione della verifica del certificato associato al nome dell'host](#disable-cert-hn-checking)
+ [Abilitazione di OCSP (Online Certificate Status Protocol)](#tls-ocsp)

## Disabilitazione della verifica del certificato associato al nome dell'host
<a name="disable-cert-hn-checking"></a>

Se non riesci a installare le dipendenze necessarie, è possibile disabilitare facoltativamente la verifica del certificato associato al nome dell'host all'interno della configurazione dell'helper di montaggio di Amazon EFS. Non è consigliabile disabilitare questa funzione in ambienti di produzione. Per disabilitare la verifica del certificato associato al nome dell'host, procedere nel seguente modo:

1. Accedi al terminale dell'istanza EC2 utilizzando Secure Shell (SSH) e accedi con il nome utente opportuno. Per ulteriori informazioni, consulta [Connect to your EC2 instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html) nella *Guida per l'utente di Amazon EC2*. 

1. Utilizzando un editor di testo a scelta, aprire il file `/etc/amazon/efs/efs-utils.conf`.

1. Impostare il parametro `stunnel_check_cert_hostname` su falso.

1. Salvare le modifiche e chiudere il file.

Per maggiori informazione sull'utilizzo della crittografia dei dati in transito, vedere [Montaggio dei file system EFS](mounting-fs.md).

## Abilitazione di OCSP (Online Certificate Status Protocol)
<a name="tls-ocsp"></a>

 Per massimizzare la disponibilità del file system nel caso in cui la CA non sia raggiungibile dal VPC, l'Online Certificate Status Protocol (OCSP) non è abilitato per impostazione predefinita quando si sceglie di crittografare i dati in transito. Amazon EFS utilizza un'[autorità di certificazione (CA) Amazon](https://www.amazontrust.com) per emettere e firmare i propri certificati TLS e la CA ordina al client di utilizzare OCSP per verificare la presenza di certificati revocati. L'endpoint OCSP deve essere accessibile su Internet tramite il Virtual Private Cloud (VPC) per poter verificare lo stato di un certificato. All'interno del servizio, Amazon EFS monitora continuamente lo stato dei certificati ed emette nuovi certificati per sostituire i certificati revocati rilevati. 

Per offrire la massima sicurezza possibile, puoi abilitare OCSP in modo tale che i client Linux possano verificare la presenza di certificati revocati. OCSP protegge dall'uso dannoso dei certificati revocati, il che è improbabile che si verifichi nel VPC. Nel caso in cui un certificato EFS TLS venga revocato, Amazon pubblica un bollettino sulla sicurezza e rilascia una nuova versione di EFS mount helper che rifiuta il certificato revocato. 

**Per abilitare OCSP sul tuo client Linux per tutte le connessioni TLS future a EFS**

1. Aprire un terminale sul client Linux.

1.  Utilizzando un editor di testo a scelta, aprire il file `/etc/amazon/efs/efs-utils.conf`. 

1.  Impostare il valore `stunnel_check_cert_validity` su true. 

1.  Salvare le modifiche e chiudere il file. 

**Per abilitare OCSP come parte del comando `mount`**
+  Utilizzare il seguente comando mount per abilitare OCSP durante il montaggio del file system. 

  ```
         $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs
  ```