翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# stunnel のインストールに関する問題の解決
<a name="stunnel-issues"></a>

stunnel をインストールできない場合は、証明書ホスト名のチェックを無効にしてみてください。さらに、オンライン証明書ステータスプロトコル (OCSP) を有効にして、可能な限りセキュリティを強化してください。

**Topics**
+ [証明書ホスト名のチェックの無効化](#disable-cert-hn-checking)
+ [オンライン証明書ステータスプロトコルの有効化](#tls-ocsp)

## 証明書ホスト名のチェックの無効化
<a name="disable-cert-hn-checking"></a>

必要な依存関係をインストールできない場合、Amazon EFS マウントヘルパー設定で、必要に応じて証明書ホスト名チェックを無効にできます。実稼働環境でこれらの機能を無効にすることはお勧めしません。証明書ホスト名チェックを無効にするには、次の操作を行います。

1. Secure Shell (SSH) を介して EC2 インスタンスのターミナルにアクセスし、適切なユーザー名でログインします。詳細については、「*Amazon EC2 ユーザーガイド*」の「[EC2 インスタンスに接続する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html)」を参照してください。

1. 任意のテキストエディタを使用して、`/etc/amazon/efs/efs-utils.conf` ファイルを開きます。

1. `stunnel_check_cert_hostname` 値を false に設定します。

1. 変更をファイルに保存して閉じます。

転送中のデータの暗号化の使用の詳細については、[EFS ファイルシステムをマウントする](mounting-fs.md) を参照してください。

## オンライン証明書ステータスプロトコルの有効化
<a name="tls-ocsp"></a>

 VPC から CA にアクセスできない場合のファイルシステムの可用性を最大化するため、転送中のデータの暗号化を選択した場合、オンライン証明書ステータスプロトコル (OCSP) はデフォルトでは有効になりません。Amazon EFS は [Amazon 認証機関](https://www.amazontrust.com) (CA) を使用して、TLS 証明書を発行して署名し、CA は OCSP を使用して失効した証明書をチェックするようにクライアントに指示します。OCSP エンドポイントは、証明書のステータスを確認するため、仮想プライベートクラウドからインターネット経由でアクセスできる必要があります。Amazon EFS は、サービス内で継続的に証明書のステータスをモニタリングします。失効した証明書が検出された場合、EFS は新しい証明書を発行してその証明書を置き換えます。

可能な限り強力なセキュリティを提供するため、OCSP を有効にできます。これにより、Linux クライアントは失効した証明書を確認することができます。OCSP は失効した証明書の悪用を防止しますが、それが VPC 内部で発生する可能性はほとんどありません。EFS TLS 証明書が失効した場合、Amazon はセキュリティ情報を発行し、失効した証明書を拒否する新しいバージョンの EFS マウントヘルパーをリリースします。

**以降のすべての EFS への TLS 接続において、Linux クライアントで OCSP を有効にするには**

1. Linux クライアントのターミナルを開きます。

1.  任意のテキストエディタを使用して、`/etc/amazon/efs/efs-utils.conf` ファイルを開きます。

1.  `stunnel_check_cert_validity` の値を true に設定します。

1.  変更をファイルに保存して閉じます。

**`mount` コマンドの一部として OCSP を有効にするには**
+  次のマウントコマンドを使用して、ファイルシステムをマウントするときに OCSP を有効にします。

  ```
         $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs
  ```