Linux 编译安装/升级 OpenSSL
1. 安装环境说明
本次安装是基于Linux CentOS 7.9,通过编译源码的方式,将原本 OpenSSL 1.0.2k-fips 升级到 OpenSSL 1.1.1u.
1.1 系统版本说明
[root@node2 ~]# uname -a
Linux node2 6.0.5-1.el7.elrepo.x86_64 #1 SMP PREEMPT_DYNAMIC Wed Oct 26 18:03:28 EDT 2022 x86_64 x86_64 x86_64 GNU/Linux
[root@node2 ~]# cat /etc/redhat-release
CentOS Linux release 7.9.2009 (Core)
1.2 查看旧版本 OpenSSL 安装路径
[root@node2 ~]# locate openssl
/etc/pki/ca-trust/extracted/openssl
/etc/pki/ca-trust/extracted/openssl/README
/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
/etc/pki/dovecot/dovecot-openssl.cnf
/etc/pki/tls/openssl.cnf ##CenOS7默认OpenSSL配置文件
/usr/bin/openssl
[root@node2 ~]# whereis openssl
openssl: /usr/bin/openssl /usr/lib64/openssl /usr/share/man/man1/openssl.1ssl.gz
1.3 查看 OpenSSL 版本
[root@node2 ~]# openssl version -a
OpenSSL 1.0.2k-fips 26 Jan 2017
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) md2(int) rc4(8x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: rdrand dynamic
2. 安装 OpenSSL
2.1 安装依赖
sudo yum install -y gcc make perl zlib-devel perl-IPC-Cmd perl-Test-Simple
2.2 下载并验证源码包
前往 OpenSSL官网下载页面,根据需要选择需要下载的版本,复制下载连接和验证文件
(这里作者选择安装 openssl-1.1.1u.tar.gz)
2.3 下载压缩包
[root@node2 ~]# wget -c https://www.openssl.org/source/openssl-1.1.1u.tar.gz
2.4 验证压缩包(可选)
下载sha1验证文件
[root@node2 ~]# wget https://www.openssl.org/source/openssl-1.1.1u.tar.gz.sha1
[root@node2 ~]# sha1sum openssl-1.1.1u.tar.gz
227f922048e132ca2d4181aabd34079cd82dd3be openssl-1.1.1u.tar.gz
[root@node2 ~]# cat openssl-1.1.1u.tar.gz.sha1
227f922048e132ca2d4181aabd34079cd82dd3be
3. 编译安装OpenSSL
3.1 解压安装包并进入安装目录
[root@node2 ~]# tar -zxf openssl-1.1.1u.tar.gz
[root@node2 ~]# cd openssl-1.1.1u/
[root@node2 openssl-1.1.1u]#
3.2 编译安装 OpenSSL
[root@node2 openssl-1.1.1u]# ./config --prefix=/usr/local/openssl #使用--prefix配置OpenSSL的安装路径
[root@node2 openssl-1.1.1u]# make
[root@node2 openssl-1.1.1u]# make install
# 配置动态链接库,目的是为了将/usr/local/openssl/lib目录下的 libssl.so.1.1 libcrypto.so.1.1 库文件加入系统的动态链接库
[root@node2 openssl-1.1.1u]# echo "/usr/local/openssl/lib" > /etc/ld.so.conf.d/openssl.conf
[root@node2 openssl-1.1.1u]# ldconfig
3.3 验证安装的 OpenSSL 版本
[root@node2 openssl-1.1.1u]# /usr/local/openssl/bin/openssl version -a
OpenSSL 1.1.1u 30 May 2023
built on: Sun Jun 11 09:55:26 2023 UTC
platform: linux-x86_64
options: bn(64,64) rc4(8x,int) des(int) idea(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG
OPENSSLDIR: "/usr/local/openssl/ssl"
ENGINESDIR: "/usr/local/openssl/lib/engines-1.1"
Seeding source: os-specific
4. 切换 OpenSSL 版本
[root@centos7 bin]# mv /usr/bin/openssl /usr/bin/openssl.bak #备份老版本openssl
[root@centos7 bin]# ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
[root@node2 openssl-1.1.1u]# openssl version
OpenSSL 1.1.1u 30 May 2023
浙公网安备 33010602011771号