Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Upgraden von `stunnel`
<a name="upgrading-stunnel"></a>

Für die Verschlüsselung von Daten während der Übertragung mit dem EFS-Mount-Helper ist `OpenSSL` Version 1.0.2 oder neuer erforderlich, und eine Version davon unterstützt sowohl `stunnel` das Online Certificate Status Protocol (OCSP) als auch die Überprüfung von Zertifikats-Hostnamen. Der EFS-Mount-Helper verwendet das `stunnel` Programm für seine TLS-Funktionalität. Beachten Sie, dass einige Linux-Versionen nicht über eine Version von `stunnel` verfügen, die diese TLS-Features standardmäßig unterstützt. Wenn Sie eine dieser Linux-Distributionen verwenden, schlägt das Mounten eines EFS-Dateisystems mithilfe von TLS fehl.

Nach der Installation des EFS-Mount-Helpers können Sie die Stunnel-Version Ihres Systems mit den folgenden Anweisungen aktualisieren.

**So aktualisieren Sie `stunnel` unter Amazon Linux, Amazon Linux 2 und anderen unterstützten Linux-Distributionen (mit Ausnahme von [SLES 12](#stunnel-on-sles12))**

1.  Rufen Sie in einem Webbrowser die `stunnel` Download-Seite [https://www.stunnel.org/downloads.html](https://www.stunnel.org/downloads.html) auf. 

1. Suchen Sie die neueste `stunnel`-Version, die im `tar.gz`-Format verfügbar ist. Notieren Sie den Dateinamen, da Sie diesen in den folgenden Schritten benötigen. 

1. Öffnen Sie ein Terminal auf Ihrem Linux-Client und führen Sie die folgenden Befehle wie angegeben aus.

   1. Für RPM:

      ```
      sudo yum install -y gcc openssl-devel tcp_wrappers-devel
      ```

      Für DEB:

      ```
      sudo apt-get install build-essential libwrap0-dev libssl-dev
      ```

   1. *latest-stunnel-version*Ersetzen Sie es durch den Namen der Datei, die Sie zuvor in Schritt 2 notiert haben.

      ```
      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
      ```

   1. 

      ```
      sudo tar xvfz latest-stunnel-version.tar.gz
      ```

   1. 

      ```
      cd latest-stunnel-version/
      ```

   1. 

      ```
      sudo ./configure
      ```

   1. 

      ```
      sudo make
      ```

   1. Das aktuelle `stunnel`-Paket ist in `bin/stunnel` installiert. Damit die neue Version installiert werden kann, müssen Sie dieses Verzeichnis mit dem folgenden Befehl löschen.

      ```
      sudo rm /bin/stunnel
      ```

   1. Installation der neuesten Version:

      ```
      sudo make install
      ```

   1. Erstellen Sie einen Symlink:

      ```
      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
      ```

**Um stunnel auf macOS zu aktualisieren**
+ Öffnen Sie ein Terminal auf Ihrer EC2-Mac-Instance und führen Sie den folgenden Befehl aus, um auf die neueste Version von stunnel zu aktualisieren.

  ```
  brew upgrade stunnel
  ```<a name="stunnel-on-sles12"></a>

**Stunnel für SLES 12 wird aktualisiert**
+ Führen Sie die folgenden Befehle aus und folgen Sie den Anweisungen des Zypper-Paketmanagers, um stunnel auf Ihrer laufenden Compute-Instanz zu aktualisieren. SLES12

  ```
  sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
  sudo zypper refresh
  sudo zypper install -y stunnel
  ```

Nachdem Sie eine Version von stunnel mit den erforderlichen Features installiert haben, können Sie Ihr Dateisystem unter Verwendung von TLS mit den von Amazon EFS empfohlenen Einstellungen mounten.

# Behebung von Problemen bei der Installation von Stunnel
<a name="stunnel-issues"></a>

Wenn Sie Stunnel nicht installieren können, versuchen Sie, die Überprüfung des Zertifikat-Hostnamens zu deaktivieren. Sorgen Sie außerdem für die größtmögliche Sicherheit, indem Sie das Online Certificate Status Protocol (OCSP) aktivieren. 

**Topics**
+ [Deaktivieren der Überprüfung des Hostnamens des Zertifikats](#disable-cert-hn-checking)
+ [Aktivieren des Online Certificate Status Protocol](#tls-ocsp)

## Deaktivieren der Überprüfung des Hostnamens des Zertifikats
<a name="disable-cert-hn-checking"></a>

Wenn Sie nicht in der Lage sind, die erforderlichen Abhängigkeiten zu installieren, können Sie optional die Überprüfung des Hostnamens des Zertifikats in der Konfiguration der Amazon-EFS-Mountinghilfe deaktivieren. Dies wird jedoch in Produktionsumgebungen nicht empfohlen. Gehen Sie wie folgt vor, um die Überprüfung des Hostnamens des Zertifikats zu deaktivieren:

1. Greifen Sie über Secure Shell (SSH) auf das Terminal für die EC2-Instance zu und melden Sie sich mit dem entsprechenden Benutzernamen an. Weitere Informationen finden Sie unter [Mit Ihrer EC2-Instance verbinden](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html) im *Amazon-EC2-Benutzerhandbuch*. 

1. Öffnen Sie mit einem Texteditor Ihrer Wahl die Datei `/etc/amazon/efs/efs-utils.conf`.

1. Legen Sie für den `stunnel_check_cert_hostname`-Wert „false“ fest.

1. Speichern Sie die Änderungen und schließen Sie die Datei.

Weitere Informationen zur Verwendung von Datenverschlüsselung während der Übertragung finden Sie unter [Mounting von EFS-Dateisystemen](mounting-fs.md).

## Aktivieren des Online Certificate Status Protocol
<a name="tls-ocsp"></a>

 Um die Verfügbarkeit des Dateisystems für den Fall zu maximieren, dass die Zertifizierungsstelle von Ihrer VPC aus nicht erreichbar ist, ist das Online Certificate Status Protocol (OCSP) standardmäßig nicht aktiviert, wenn Sie sich für die Verschlüsselung von Daten während der Übertragung entscheiden. Amazon EFS verwendet eine [Amazon Zertifizierungsstelle](https://www.amazontrust.com) (CA), um seine TLS-Zertifikate auszustellen und zu signieren, und die CA weist den Client an, OCSP zu verwenden, um auf widerrufene Zertifikate zu prüfen. Um den Status eines Zertifikats überprüfen zu können, muss der OCSP-Endpunkt von Ihrer Virtual Private Cloud aus über das Internet zugänglich sein. Innerhalb des Service überwacht Amazon EFS kontinuierlich den Status der Zertifikate und stellt neue Zertifikate aus, um alle erkannten widerrufenen Zertifikate zu ersetzen. 

Für höchste Sicherheit können Sie OCSP so aktivieren, dass Ihre Linux-Clients eine Prüfung auf widerrufene Zertifikate ausführen können. OCSP schützt vor der bösartigen Verwendung widerrufener Zertifikate. Es ist jedoch unwahrscheinlich, dass dies innerhalb Ihrer VPC auftritt. Für den Fall, dass ein EFS-TLS-Zertifikat gesperrt wird, veröffentlicht Amazon ein Sicherheitsbulletin und veröffentlicht eine neue Version von EFS Mount Helper, die das gesperrte Zertifikat zurückweist. 

**So aktivieren Sie OCSP auf Ihrem Linux-Client für alle zukünftigen TLS-Verbindungen zu EFS**

1. Öffnen Sie ein Terminal auf Ihrem Linux-Client.

1.  Öffnen Sie mit einem Texteditor Ihrer Wahl die Datei `/etc/amazon/efs/efs-utils.conf`. 

1.  Legen Sie den `stunnel_check_cert_validity`-Wert auf „true“ fest. 

1.  Speichern Sie die Änderungen und schließen Sie die Datei. 

**So aktivieren Sie OCSP als Teil des `mount`-Befehls**
+  Verwenden Sie den folgenden Mounting-Befehl, um OCSP beim Mounten des Dateisystems zu aktivieren. 

  ```
         $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs
  ```