Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Aggiornamento di `stunnel`
<a name="upgrading-stunnel"></a>

La crittografia dei dati in transito con l'helper di montaggio EFS richiede la `OpenSSL` versione 1.0.2 o successiva, e una versione `stunnel` che supporta sia l'Online Certificate Status Protocol (OCSP) che il controllo del nome host del certificato. L'helper di montaggio EFS utilizza il `stunnel` programma per la sua funzionalità TLS. Si noti che alcune versioni di Linux non includono una versione di `stunnel` che supporta queste funzionalità di TLS per impostazione predefinita. Quando si utilizza una di queste distribuzioni Linux, il montaggio di un file system EFS tramite TLS non riesce.

Dopo aver installato l'EFS mount helper, puoi aggiornare la versione di stunnel del tuo sistema con le seguenti istruzioni.

**Per eseguire l'aggiornamento di `stunnel` su Amazon Linux, Amazon Linux 2 e altre distribuzioni Linux supportate (ad eccezione di [SLES 12](#stunnel-on-sles12))**

1.  In un browser Web, vai alla pagina dei download `stunnel` [https://www.stunnel.org/downloads.html](https://www.stunnel.org/downloads.html). 

1. Individua l'ultima versione di `stunnel` disponibile in formato `tar.gz`. Prendere nota del nome del file poiché sarà necessario per le fasi successive. 

1. Aprire un terminale sul client Linux ed eseguire questi comandi nell'ordine indicato.

   1. Per RPM:

      ```
      sudo yum install -y gcc openssl-devel tcp_wrappers-devel
      ```

      Per DEB:

      ```
      sudo apt-get install build-essential libwrap0-dev libssl-dev
      ```

   1. Sostituisci *latest-stunnel-version* con il nome del file annotato in precedenza nel passaggio 2.

      ```
      sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
      ```

   1. 

      ```
      sudo tar xvfz latest-stunnel-version.tar.gz
      ```

   1. 

      ```
      cd latest-stunnel-version/
      ```

   1. 

      ```
      sudo ./configure
      ```

   1. 

      ```
      sudo make
      ```

   1. Il pacchetto `stunnel` corrente è installato in `bin/stunnel`. Affinché la nuova versione possa essere installata, rimuovere tale cartella con il comando seguente.

      ```
      sudo rm /bin/stunnel
      ```

   1. Per installare la versione più recente:

      ```
      sudo make install
      ```

   1. Crea un symlink:

      ```
      sudo ln -s /usr/local/bin/stunnel /bin/stunnel
      ```

**Per aggiornare stunnel su macOS**
+ Apri un terminale sulla tua istanza EC2 per Mac ed esegui il seguente comando per eseguire l'aggiornamento alla versione più recente di stunnel.

  ```
  brew upgrade stunnel
  ```<a name="stunnel-on-sles12"></a>

**Aggiornamento di stunnel per SLES 12**
+ Esegui i seguenti comandi e segui le istruzioni del gestore di pacchetti zypper per aggiornare stunnel sulla tua istanza di calcolo in esecuzione. SLES12

  ```
  sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
  sudo zypper refresh
  sudo zypper install -y stunnel
  ```

Dopo aver installato una versione di stunnel con le funzionalità necessarie, è possibile montare il file system usando TLS con le impostazioni consigliate di Amazon EFS.

# Risoluzione dei problemi con l'installazione di stunnel
<a name="stunnel-issues"></a>

Se non riesci a installare stunnel, prova a disabilitare il controllo del nome host del certificato. Inoltre, offri la massima sicurezza possibile abilitando l'Online Certificate Status Protocol (OCSP). 

**Topics**
+ [Disabilitazione della verifica del certificato associato al nome dell'host](#disable-cert-hn-checking)
+ [Abilitazione di OCSP (Online Certificate Status Protocol)](#tls-ocsp)

## Disabilitazione della verifica del certificato associato al nome dell'host
<a name="disable-cert-hn-checking"></a>

Se non riesci a installare le dipendenze necessarie, è possibile disabilitare facoltativamente la verifica del certificato associato al nome dell'host all'interno della configurazione dell'helper di montaggio di Amazon EFS. Non è consigliabile disabilitare questa funzione in ambienti di produzione. Per disabilitare la verifica del certificato associato al nome dell'host, procedere nel seguente modo:

1. Accedi al terminale dell'istanza EC2 utilizzando Secure Shell (SSH) e accedi con il nome utente opportuno. Per ulteriori informazioni, consulta [Connect to your EC2 instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html) nella *Guida per l'utente di Amazon EC2*. 

1. Utilizzando un editor di testo a scelta, aprire il file `/etc/amazon/efs/efs-utils.conf`.

1. Impostare il parametro `stunnel_check_cert_hostname` su falso.

1. Salvare le modifiche e chiudere il file.

Per maggiori informazione sull'utilizzo della crittografia dei dati in transito, vedere [Montaggio dei file system EFS](mounting-fs.md).

## Abilitazione di OCSP (Online Certificate Status Protocol)
<a name="tls-ocsp"></a>

 Per massimizzare la disponibilità del file system nel caso in cui la CA non sia raggiungibile dal VPC, l'Online Certificate Status Protocol (OCSP) non è abilitato per impostazione predefinita quando si sceglie di crittografare i dati in transito. Amazon EFS utilizza un'[autorità di certificazione (CA) Amazon](https://www.amazontrust.com) per emettere e firmare i propri certificati TLS e la CA ordina al client di utilizzare OCSP per verificare la presenza di certificati revocati. L'endpoint OCSP deve essere accessibile su Internet tramite il Virtual Private Cloud (VPC) per poter verificare lo stato di un certificato. All'interno del servizio, Amazon EFS monitora continuamente lo stato dei certificati ed emette nuovi certificati per sostituire i certificati revocati rilevati. 

Per offrire la massima sicurezza possibile, puoi abilitare OCSP in modo tale che i client Linux possano verificare la presenza di certificati revocati. OCSP protegge dall'uso dannoso dei certificati revocati, il che è improbabile che si verifichi nel VPC. Nel caso in cui un certificato EFS TLS venga revocato, Amazon pubblica un bollettino sulla sicurezza e rilascia una nuova versione di EFS mount helper che rifiuta il certificato revocato. 

**Per abilitare OCSP sul tuo client Linux per tutte le connessioni TLS future a EFS**

1. Aprire un terminale sul client Linux.

1.  Utilizzando un editor di testo a scelta, aprire il file `/etc/amazon/efs/efs-utils.conf`. 

1.  Impostare il valore `stunnel_check_cert_validity` su true. 

1.  Salvare le modifiche e chiudere il file. 

**Per abilitare OCSP come parte del comando `mount`**
+  Utilizzare il seguente comando mount per abilitare OCSP durante il montaggio del file system. 

  ```
         $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs
  ```