Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Actualización de `stunnel`
<a name="upgrading-stunnel"></a>

El cifrado de datos en tránsito con el ayudante de montaje de EFS requiere `OpenSSL` versión 1.0.2 o posterior, y una versión de `stunnel` que admita el Protocolo de estado de certificados en línea (OCSP) y la comprobación del nombre de host del certificado. El ayudante de montaje de EFS utiliza el programa `stunnel` para la funcionalidad de TLS. Observe que algunas versiones de Linux no incluyen una versión de `stunnel` que admita estas características de TLS de forma predeterminada. Cuando se utiliza una de esas distribuciones de Linux, montar un sistema de archivos de EFS mediante TLS da error.

Después de instalar dicho ayudante de montaje de EFS, puede actualizar la versión del sistema de stunnel con las siguientes instrucciones.

**Para actualizar `stunnel` en Amazon Linux, Amazon Linux 2 y otras distribuciones de Linux compatibles (excepto [SLES 12](#stunnel-on-sles12))**

1.  En un navegador web, vaya a la página de descargas de `stunnel` [https://www.stunnel.org/downloads.html](https://www.stunnel.org/downloads.html). 

1. Localice la última versión de `stunnel` disponible en formato `tar.gz`. Anote el nombre del archivo, ya que lo necesitará en los pasos siguientes. 

1. Abra un terminal en el cliente de Linux y ejecute los siguientes comandos en el orden que se muestran.

   1. Para RPM:

      ```
      sudo yum install -y gcc openssl-devel tcp_wrappers-devel
      ```

      Para DEB:

      ```
      sudo apt-get install build-essential libwrap0-dev libssl-dev
      ```

   1. *latest-stunnel-version*Sustitúyalo por el nombre del archivo que anotó anteriormente en el paso 2.

      ```
      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
      ```

   1. 

      ```
      sudo tar xvfz latest-stunnel-version.tar.gz
      ```

   1. 

      ```
      cd latest-stunnel-version/
      ```

   1. 

      ```
      sudo ./configure
      ```

   1. 

      ```
      sudo make
      ```

   1. El paquete actual de `stunnel` está instalado en `bin/stunnel`. Por tanto, para que la nueva versión se pueda instalar, elimine ese directorio con el siguiente comando.

      ```
      sudo rm /bin/stunnel
      ```

   1. Instale la versión más reciente:

      ```
      sudo make install
      ```

   1. Cree un enlace simbólico

      ```
      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
      ```

**Para actualizar stunnel en macOS**
+ Abra un terminal en su instancia Mac de EC2 y ejecute el siguiente comando para actualizar a la versión más reciente de stunnel.

  ```
  brew upgrade stunnel
  ```<a name="stunnel-on-sles12"></a>

**Actualización de stunnel para SLES 12**
+ Ejecuta los siguientes comandos y sigue las instrucciones del administrador de paquetes zypper para actualizar stunnel en la instancia de procesamiento en ejecución. SLES12

  ```
  sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
  sudo zypper refresh
  sudo zypper install -y stunnel
  ```

Una vez instalada una versión de stunnel con las características necesarias, puede montar el sistema de archivos usando TLS con la configuración recomendada de Amazon EFS.

# Resolver problemas relacionados con la instalación de stunnel
<a name="stunnel-issues"></a>

Si no puede instalar stunnel, pruebe a deshabilitar la comprobación del nombre de host del certificado. Además, habilite el Protocolo de estado de certificados en línea (OCSP) para proporcionar la mayor seguridad posible. 

**Topics**
+ [Deshabilitar la comprobación del nombre de host del certificado](#disable-cert-hn-checking)
+ [Habilitación del protocolo OCSP (Online Certificate Status Protocol)](#tls-ocsp)

## Deshabilitar la comprobación del nombre de host del certificado
<a name="disable-cert-hn-checking"></a>

Si no puede instalar las dependencias requeridas, tiene la opción de deshabilitar la comprobación del nombre de host del certificado en la configuración del ayudante de montaje de Amazon EFS. No es recomendable que desactive esta característica en entornos de producción. Para deshabilitar la comprobación del nombre de host del certificado, haga lo siguiente:

1. Obtenga acceso al terminal de la instancia de EC2 a través de Secure Shell (SSH) e inicie sesión con el nombre de usuario adecuado. Para obtener más información, consulte [Conexión con instancias EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html) en la *Guía del usuario de Amazon EC2*. 

1. Con el editor de textos que prefiera, abra el archivo `/etc/amazon/efs/efs-utils.conf`.

1. Establezca el valor `stunnel_check_cert_hostname` en falso.

1. Guarde los cambios y cierre el archivo.

Para obtener más información sobre el uso de cifrado con datos en tránsito, consulte [Montaje de sistemas de archivos de EFS](mounting-fs.md).

## Habilitación del protocolo OCSP (Online Certificate Status Protocol)
<a name="tls-ocsp"></a>

 Para maximizar la disponibilidad del sistema de archivos en caso de no poder conectarse a la entidad de certificación (CA) desde su VPC, el protocolo OCSP (Online Certificate Status Protocol) no está habilitado de forma predeterminada al elegir el cifrado de los datos en tránsito. Amazon EFS utiliza una [entidad de certificación de Amazon](https://www.amazontrust.com) para emitir y firmar los certificados TLS. Dicha entidad indica al cliente que utilice OCSP para comprobar los certificados revocados. Debe ser posible el acceso al punto de enlace OCSP a través de Internet desde su Virtual Private Cloud para comprobar el estado de un certificado. En este servicio, Amazon EFS monitoriza de forma continua el estado de los certificados y emite otros nuevos para reemplazar los certificados revocados que detecte. 

Con el fin de ofrecer la mayor seguridad posible, puede habilitar OCSP para que los clientes de Linux puedan comprobar los certificados revocados. OCSP protege contra el uso malicioso de certificados revocados, lo que es poco probable que ocurra dentro de su VPC. En el caso de que se revoque un certificado TLS de EFS, Amazon publica un boletín de seguridad y lanza una nueva versión del ayudante de montaje de EFS que rechace el certificado revocado. 

**Para habilitar OCSP en el cliente de Linux para todas las conexiones TLS futuras en EFS**

1. Abra un terminal en su cliente de Linux.

1.  Con el editor de textos que prefiera, abra el archivo `/etc/amazon/efs/efs-utils.conf`. 

1.  Establezca el valor `stunnel_check_cert_validity` en true. 

1.  Guarde los cambios y cierre el archivo. 

**Para habilitar OCSP como parte del comando `mount`**
+  Utilice el siguiente comando de montaje para habilitar OCSP al montar el sistema de archivos. 

  ```
         $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs
  ```