本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 解決安裝 stunnel 的問題
<a name="stunnel-issues"></a>

如果您無法安裝 stunnel，請嘗試停用憑證主機名稱檢查。此外，透過啟用線上憑證狀態通訊協定 (OCSP)，盡可能提供最強大的安全性。

**Topics**
+ [停用憑證主機名稱檢查](#disable-cert-hn-checking)
+ [啟用線上憑證狀態通訊協定](#tls-ocsp)

## 停用憑證主機名稱檢查
<a name="disable-cert-hn-checking"></a>

如果您無法安裝所需的相依性，您可以在 Amazon EFS 掛載協助程式組態中選擇性地停用憑證主機名稱檢查。我們不建議您在生產環境中停用此功能。若要停用憑證主機名稱檢查，請執行下列動作：

1. 透過 Secure Shell (SSH) 存取 EC2 執行個體的終端機，並使用適當的使用者名稱登入。如需詳細資訊，請參閱 *Amazon EC2 User Guide* 中的 [Connect to your EC2 instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html)。

1. 使用您選擇的文字編輯器，開啟 `/etc/amazon/efs/efs-utils.conf` 檔案。

1. 將 `stunnel_check_cert_hostname` 值設為 false。

1. 將變更儲存到檔案並將其關閉。

如需使用傳輸中資料加密的詳細資訊，請參閱 [掛載 EFS 檔案系統](mounting-fs.md)。

## 啟用線上憑證狀態通訊協定
<a name="tls-ocsp"></a>

 為了在無法從 VPC 存取 CA 時，讓檔案系統可用性最大化，當您選擇加密傳輸中的資料時，線上憑證狀態通訊協定 (OCSP) 預設不會啟用。Amazon EFS 會使用 [Amazon 憑證授權](https://www.amazontrust.com)(CA) 來發行和簽署其 TLS 憑證，而 CA 則會指示用戶端使用 OCSP 檢查已撤銷的憑證。OCSP 端點必須可以透過網際網路，從您的 Virtual Private Cloud 存取，以便檢查憑證的狀態。在服務中，Amazon EFS 會持續監控憑證狀態，並發行新憑證來取代偵測到的任何已撤銷憑證。

為了盡可能提供最強的安全，您可以啟用 OCSP，讓您的 Linux 用戶端可以檢查已撤銷憑證。OCSP 可保護不受惡意使用已撤銷憑證的危害，雖然這種情況在您的 VPC 中極為罕見。如果撤銷 EFS TLS 憑證，Amazon 會發佈安全公告，並發行拒絕撤銷憑證的 EFS 掛載協助程式新版本。

**在您的 Linux 用戶端上針對所有未來與 EFS 的 TLS 連線啟用 OCSP**

1. 在您的 Linux 用戶端上開啟終端機。

1.  使用您選擇的文字編輯器，開啟 `/etc/amazon/efs/efs-utils.conf` 檔案。

1.  將 `stunnel_check_cert_validity` 值設為 true。

1.  將變更儲存到檔案並將其關閉。

**在 `mount` 命令中啟用 OCSP**
+  在掛載檔案系統時，使用以下掛載命令啟用 OCSP。

  ```
         $ sudo mount -t efs -o tls,ocsp {{fs-12345678}}:/ /mnt/efs
  ```