As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como atualizar o `stunnel`
A criptografia de dados em trânsito com o assistente de montagem do EFS requer a versão 1.0.2 ou mais recente do `OpenSSL` e uma versão de `stunnel` compatível com o Online Certificate Status Protocol (OCSP) e a verificação do nome de host do certificado. O assistente de montagem do EFS usa o programa `stunnel` para a funcionalidade TLS. Algumas versões do Linux não incluem uma versão de `stunnel` compatível com esses recursos do TLS por padrão. Ao usar uma dessas distribuições do Linux, a montagem de um sistema de arquivos do EFS usando TLS apresentará falha.
Depois de instalar o assistente de montagem do EFS, você pode atualizar a versão do stunnel do sistema com as instruções a seguir.
**Para atualizar `stunnel` no Amazon Linux, no Amazon Linux 2 e em outras distribuições Linux compatíveis (exceto para o [SLES 12](#stunnel-on-sles12))**
1. Em um navegador da web, acesse a página de downloads `stunnel` [https://www.stunnel.org/downloads.html](https://www.stunnel.org/downloads.html).
1. Localize a versão mais recente do `stunnel` disponível no formato `tar.gz`. Anote o nome do arquivo. Você precisará dele nas etapas a seguir.
1. Abra um terminal no cliente Linux e execute os comandos a seguir na ordem apresentada.
1. Para RPM:
```
sudo yum install -y gcc openssl-devel tcp_wrappers-devel
```
Para DEB:
```
sudo apt-get install build-essential libwrap0-dev libssl-dev
```
1. *latest-stunnel-version*Substitua pelo nome do arquivo que você anotou anteriormente na Etapa 2.
```
sudo curl -o latest-stunnel-version.tar.gz https://www.stunnel.org/downloads/latest-stunnel-version.tar.gz
```
1.
```
sudo tar xvfz latest-stunnel-version.tar.gz
```
1.
```
cd latest-stunnel-version/
```
1.
```
sudo ./configure
```
1.
```
sudo make
```
1. O pacote atual `stunnel` está instalado em `bin/stunnel`. Para que a nova versão possa ser instalada, remova esse diretório com o comando a seguir.
```
sudo rm /bin/stunnel
```
1. Instalar a versão mais recente
```
sudo make install
```
1. Criar um symlink:
```
sudo ln -s /usr/local/bin/stunnel /bin/stunnel
```
**Atualizar o stunnel no macOS**
+ Abra um terminal na sua instância EC2 Mac e execute o comando a seguir para atualizar para a versão mais recente do stunnel.
```
brew upgrade stunnel
```
**Atualizar o stunnel para o SLES12**
+ Execute os comandos a seguir e siga as instruções do gerenciador de pacotes zypper para atualizar o stunnel na sua instância de computação em execução. SLES12
```
sudo zypper addrepo https://download.opensuse.org/repositories/security:Stunnel/SLE_12_SP5/security:Stunnel.repo
sudo zypper refresh
sudo zypper install -y stunnel
```
Depois de instalar uma versão do stunnel com os recursos necessários, você poderá montar seu sistema de arquivos usando TLS com as configurações recomendadas do Amazon EFS.
# Resolver problemas com a instalação do stunnel
Se você não conseguir instalar o stunnel, tente desabilitar a verificação do nome de host do certificado. Além disso, forneça a segurança mais forte possível habilitando o Online Certificate Status Protocol (OCSP).
**Topics**
+ [Desabilitar a verificação do nome do host do certificado](#disable-cert-hn-checking)
+ [Habilitar o Online Certificate Status Protocol](#tls-ocsp)
## Desabilitar a verificação do nome do host do certificado
Se não for possível instalar as dependências necessárias, você poderá desativar opcionalmente a verificação do nome do host do certificado na configuração do auxiliar de montagem do Amazon EFS. Não recomendamos a desabilitação desse recurso em ambientes de produção. Para desativar o nome do host do certificado, faça o seguinte:
1. Acesse o terminal para sua instância do EC2 por meio do Secure Shell (SSH) e faça login com o nome de usuário apropriado. Para obter mais informações, consulte [Conexão com a instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect.html) no *Manual do usuário do Amazon EC2*.
1. Abra o arquivo `/etc/amazon/efs/efs-utils.conf` usando o editor de texto de sua preferência.
1. Defina o valor `stunnel_check_cert_hostname` como falso.
1. Salve as alterações no arquivo e feche-o.
Para obter mais informações sobre o uso de criptografia de dados em trânsito, consulte [Montagem de sistemas de arquivos do EFS](mounting-fs.md).
## Habilitar o Online Certificate Status Protocol
Para maximizar a disponibilidade do sistema de arquivos caso a CA não possa ser acessada por sua VPC, o Online Certificate Status Protocol (OCSP) não é habilitado por padrão quando você opta por criptografar dados em trânsito. O Amazon EFS usa uma [autoridade de certificação da Amazon](https://www.amazontrust.com) (CA) para emitir e assinar seus certificados TLS, e a CA instrui o cliente a usar o OCSP para verificar se há certificados revogados. O OCSP endpoint deve ser acessível pela Internet pela sua nuvem privada virtual para que ele verifique o status de um certificado. Dentro do serviço, o Amazon EFS monitora continuamente o status do certificado e emite novos certificados para substituir todos aqueles revogados que foram detectados.
Para fornecer a segurança mais forte possível, você pode habilitar OCSP, para que seus clientes Linux possam verificar a existência de certificados revogados. O OCSP protege contra o uso mal-intencionado de certificados revogados, o que é improvável que ocorra na VPC. No caso de um certificado TLS do EFS revogado, a Amazon publica um boletim de segurança e libera uma nova versão do auxiliar de montagem do EFS que rejeita o certificado revogado.
**Para habilitar o OCSP no seu cliente Linux para todas as futuras conexões TLS ao EFS**
1. Abra um terminal no seu cliente Linux.
1. Abra o arquivo `/etc/amazon/efs/efs-utils.conf` usando o editor de texto de sua preferência.
1. Defina o valor `stunnel_check_cert_validity` como true.
1. Salve as alterações no arquivo e feche-o.
**Para habilitar o OCSP como parte do comando `mount`**
+ Use o seguinte comando de montagem para habilitar OCSP no sistema de arquivos de montagem.
```
$ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs
```