本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 解决安装 stunnel 时遇到的问题
<a name="stunnel-issues"></a>

如果您无法安装 stunnel，请尝试禁用证书主机名检查。此外，请启用在线证书状态协议（OCSP）以提供尽可能强的安全性。

**Topics**
+ [禁用证书主机名检查](#disable-cert-hn-checking)
+ [启用在线证书状态协议](#tls-ocsp)

## 禁用证书主机名检查
<a name="disable-cert-hn-checking"></a>

如果无法安装所需的依赖项，您可以选择在 Amazon EFS 挂载帮助程序配置中禁用证书主机名检查。我们建议您不要在生产环境中禁用此功能。要禁用证书主机名检查，请执行以下操作：

1. 通过 Secure Shell（SSH）访问您的 EC2 实例的终端，然后使用相应的用户名登录。有关更多信息，请参阅《Amazon EC2 用户指南》**中的[连接到您的 EC2 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html)。

1. 使用所选的文本编辑器打开 `/etc/amazon/efs/efs-utils.conf` 文件。

1. 将 `stunnel_check_cert_hostname` 值设置为 false。

1. 保存对该文件的更改，然后关闭该文件。

有关使用传输中的数据加密的更多信息，请参阅[挂载 EFS 文件系统](mounting-fs.md)。

## 启用在线证书状态协议
<a name="tls-ocsp"></a>

 为了在无法从您的 VPC 访问 CA 时最大限度地提高文件系统的可用性，当您选择加密传输中数据时，默认情况下不启用在线证书状态协议（OCSP）。Amazon EFS 使用 [Amazon 证书颁发机构](https://www.amazontrust.com)（CA）来颁发和签署其 TLS 证书，CA 指示客户端使用 OCSP 来检查是否有被吊销的证书。必须可以通过 Internet 从 Virtual Private Cloud 访问 OCSP 终端节点，以检查证书的状态。在该服务中，Amazon EFS 持续监视证书状态，并颁发新证书以替换它检测到的任何已撤销证书。

为了提供最高安全性，您可以启用 OCSP，以便 Linux 客户端可以检查撤销的证书。OCSP 可防止恶意使用已撤销的证书，这种情况不太可能发生在您的 VPC 中。如果撤销 EFS TLS 证书，Amazon 将发布安全公告，并发布拒绝已撤销的证书的新版 EFS 挂载帮助程序。

**在 Linux 客户端上启用 OCSP，以便将来都可以与 EFS 建立 TLS 连接**

1. 打开 Linux 客户端上的一个终端。

1.  使用所选的文本编辑器打开 `/etc/amazon/efs/efs-utils.conf` 文件。

1.  将 `stunnel_check_cert_validity` 值设置为 true。

1.  保存对该文件的更改，然后关闭该文件。

**在 `mount` 命令中启用 OCSP**
+  使用以下挂载命令在挂载文件系统时启用 OCSP。

  ```
         $ sudo mount -t efs -o tls,ocsp {{fs-12345678}}:/ /mnt/efs
  ```