Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Mise à niveau d’`stunnel`
<a name="upgrading-stunnel"></a>

Le chiffrement des données en transit à l'aide de l'assistant de montage EFS nécessite la `OpenSSL` version 1.0.2 ou une version ultérieure, `stunnel` dont une version prend en charge à la fois le protocole OCSP (Online Certificate Status Protocol) et la vérification du nom d'hôte du certificat. L'assistant de montage EFS utilise le `stunnel` programme pour ses fonctionnalités TLS. Notez que certaines versions de Linux n’incluent pas une version de `stunnel` prenant en charge ces fonctionnalités TLS par défaut. Lorsque vous utilisez l'une de ces distributions Linux, le montage d'un système de fichiers EFS à l'aide du protocole TLS échoue.

Après avoir installé l'assistant de montage EFS, vous pouvez mettre à niveau la version de Stunnel de votre système en suivant les instructions suivantes.

**Pour effectuer une mise à niveau `stunnel` sur Amazon Linux, Amazon Linux 2 et d’autres distributions Linux prises en charge (à l’exception de [SLES 12](#stunnel-on-sles12))**

1.  Dans un navigateur Web, accédez à la page des `stunnel` téléchargements [https://www.stunnel.org/downloads.html](https://www.stunnel.org/downloads.html). 

1. Localisez la dernière version `stunnel` disponible dans le format `tar.gz`. Notez le nom du fichier, car vous en aurez besoin dans la procédure suivante. 

1. Ouvrez un terminal sur votre client Linux et exécutez les commandes suivantes dans l’ordre.

   1. Pour RPM :

      ```
      sudo yum install -y gcc openssl-devel tcp_wrappers-devel
      ```

      Pour DEB :

      ```
      sudo apt-get install build-essential libwrap0-dev libssl-dev
      ```

   1. *latest-stunnel-version*Remplacez-le par le nom du fichier que vous avez noté précédemment à l'étape 2.

      ```
      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
      ```

   1. 

      ```
      sudo tar xvfz latest-stunnel-version.tar.gz
      ```

   1. 

      ```
      cd latest-stunnel-version/
      ```

   1. 

      ```
      sudo ./configure
      ```

   1. 

      ```
      sudo make
      ```

   1. Le `stunnel` package actuel est installé dans`bin/stunnel`. Pour que la nouvelle version puisse être installée, supprimez ce répertoire à l’aide de la commande suivante :

      ```
      sudo rm /bin/stunnel
      ```

   1. Installer la dernière version

      ```
      sudo make install
      ```

   1. Créer un lien symbolique

      ```
      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
      ```

**Pour mettre à jour Stunnel sur macOS**
+ Ouvrez un terminal sur votre instance Mac EC2 et exécutez la commande suivante pour effectuer la mise à niveau vers la dernière version de Stunnel.

  ```
  brew upgrade stunnel
  ```<a name="stunnel-on-sles12"></a>

**Mise à niveau de Stunnel pour SLES 12**
+ Exécutez les commandes suivantes et suivez les instructions du gestionnaire de packages zypper pour mettre à niveau Stunnel sur votre instance de calcul en cours d'exécution. SLES12

  ```
  sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
  sudo zypper refresh
  sudo zypper install -y stunnel
  ```

Une fois que vous avez installé une version de stunnel avec les fonctionnalités requises, vous pouvez monter votre système de fichiers à l’aide de TLS en utilisant les paramètres recommandés pour Amazon EFS.

# Résolution des problèmes liés à l'installation de Stunnel
<a name="stunnel-issues"></a>

Si vous ne parvenez pas à installer Stunnel, essayez de désactiver la vérification du nom d'hôte du certificat. En outre, offrez le niveau de sécurité le plus élevé possible en activant le protocole OCSP (Online Certificate Status Protocol). 

**Topics**
+ [Désactivation de la vérification du nom d’hôte du certificat](#disable-cert-hn-checking)
+ [Activation du protocole de vérification en ligne de certificat (OCSP)](#tls-ocsp)

## Désactivation de la vérification du nom d’hôte du certificat
<a name="disable-cert-hn-checking"></a>

Si vous ne pouvez pas installer les dépendances requises, vous pouvez désactiver la vérification du nom d’hôte du certificat dans la configuration d’assistant de montage Amazon EFS. Nous vous déconseillons de désactiver cette fonction dans les environnements de production. Pour désactiver la vérification du nom d’hôte du certificat, procédez comme suit :

1. Accédez au terminal pour votre instance EC2 via Secure Shell (SSH) et connectez-vous avec le nom d’utilisateur approprié. Pour plus d’informations, consultez la section [Connexion à votre instance EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html) dans le *Guide de l’utilisateur Amazon EC2*. 

1. Dans l’éditeur de texte de votre choix, ouvrez le fichier `/etc/amazon/efs/efs-utils.conf`.

1. Définissez la valeur de `stunnel_check_cert_hostname` sur false.

1. Enregistrez les modifications du fichier, puis fermez-le.

Pour plus d’informations sur l’utilisation du chiffrement des données en transit, consultez [Montage des systèmes de fichiers EFS](mounting-fs.md).

## Activation du protocole de vérification en ligne de certificat (OCSP)
<a name="tls-ocsp"></a>

 Afin de maximiser la disponibilité du système de fichiers si l’autorité de certification n’est pas accessible depuis votre VPC, le protocole OCSP (Online Certificate Status Protocol) n’est pas activé par défaut lorsque vous choisissez de chiffrer les données en transit. Amazon EFS utilise une [autorité de certification (CA) Amazon](https://www.amazontrust.com) pour émettre et signer ses certificats TLS, et l’autorité de certification demande au client d’utiliser le protocole OCSP pour vérifier les certificats révoqués. Le point de terminaison OCSP doit être accessible via Internet à partir de votre Virtual Private Cloud afin de vérifier le statut d’un certificat. Au sein du service, Amazon EFS surveille en permanence l'état des certificats et émet de nouveaux certificats pour remplacer les certificats révoqués détectés. 

Afin de vous assurer de la meilleure sécurité possible, vous pouvez activer OCSP de sorte que vos clients Linux puissent vérifier les certificats révoqués. OCSP protège contre l’utilisation malveillante des certificats révoqués, ce qui est peu probable dans votre VPC. En cas de révocation d'un certificat EFS TLS, Amazon publie un bulletin de sécurité et publie une nouvelle version de l'assistant de montage EFS qui rejette le certificat révoqué. 

**Pour activer OCSP sur votre client Linux pour toutes les futures connexions TLS à EFS**

1. Ouvrez un terminal sur votre client Linux.

1.  Dans l’éditeur de texte de votre choix, ouvrez le fichier `/etc/amazon/efs/efs-utils.conf`. 

1.  Définissez la valeur de `stunnel_check_cert_validity` sur true. 

1.  Enregistrez les modifications du fichier, puis fermez-le. 

**Pour activer OCSP dans le cadre de la commande `mount`**
+  Utilisez la commande mount suivante pour activer OCSP lors du montage du système de fichiers. 

  ```
         $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs
  ```