linux openssl升級-從OpenSSL1.0.2K-1.1.1i

yy418408247發表於2022-09-09
Linux
題外話:線上系統,原理掃描出了 SSL/TLS協議資訊洩露漏洞,需要進行升級解決漏洞,透過檢視他人資料,得到一個訊息:建議大家
OpenSSL 1.0.2使用者應升級到1.0.2i;
OpenSSL 1.0.1使用者應升級到1.0.1u;
1.下載要升級的安裝包
①有外網的情況下:
[root@muqx ~]#  wget
出現問題:ERROR: cannot verify  certificate, issued by ‘/C=US/O=Let's Encrypt/CN=R3’:

問題原因:
 這個錯誤涉及到 OpenSSL 官方站點使用的 Let's Encrypt CA 證書,1.0.2 版本的 OpenSSL 將在驗證網站證書時報錯,而當前 CentOS 7.9中預設包含的 OpenSSL 版本是 1.0.2k,所以會出錯。對於該問題在 OpenSSL 官方的 Blog 上有解釋,其連結為: Old Let’s Encrypt Root Certificate Expiration and OpenSSL 1.0.2 - OpenSSL Blog
處理方法:
可以透過加上命令引數 --no-check-certificate 來繞過這個問題,即使用命令:
wget --no-check-certificate
處理方法二:
也可以不用 wget,而使用 curl 命令下載。執行如下命令:

curl   -O --progress

②是內網的情況下,下載然後進行上傳到伺服器


2.確認當前版本,備份證書檔案和秘鑰檔案
#確認版本
[root@muqx ~]# openssl version -a
#檢視需要備份檔案
[root@muqx ~]# find / -name openssl

#備份檔案
[root@muqx ~]# mv /usr/bin/openssl /usr/bin/openssl.old
[root@muqx ~]# mv /etc/pki/ca-trust/extracted/openssl /etc/pki/ca-trust/extracted/openssl.old
[root@muqx ~]# mv /usr/lib64/openssl  /usr/lib64/openssl.old
#下載的檔案進行解壓,-C 就是制定解壓的路徑
[root@muqx ~]# tar -zxvf openssl-1.1.1i.tar.gz  -C /opt/
#進行安裝
[root@muqx ~]# cd /opt/openssl-1.1.1i/
#預編譯,生成Makefile檔案
[root@muqx openssl-1.1.1i]# ./config --prefix=/opt/openssl --openssldir=/usr/local/ssl

例如:到指定安裝路徑,生成Makefile檔案,-t引數可測試編譯情況,–prefix:指定安裝目錄;–openssldir:指定openssl配置檔案路徑;加shared還可指定建立動態連結庫

#編譯,安裝,其中j4 是執行緒  (make 是編譯,make install 是安裝。可以分開執行)

[root@muqx openssl-1.1.1i]# make -j4 && make install

#新增新的openssl軟連結
[root@muqx openssl-1.1.1i]# ln -sf /opt/openssl/bin/openssl  /usr/bin/openssl
# 測試
[root@muqx openssl]# openssl version
openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory
出現問題:openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory
處理方式:
方法一:
# 將新的庫檔案地址寫入記錄so庫的配置檔案
[root@muqx openssl-1.1.1i]# echo "/opt/openssl/lib/" >> /etc/ld.so.conf
[root@muqx openssl-1.1.1i]# ldconfig
方法二:
缺少相關庫依賴,請檢查以下庫檔案,執行:
[root@muqx openssl-1.1.1i]# ln -s /opt/openssl/lib/libcrypto.so.1.1  /usr/lib64/libcrypto.so.1.1
[root@muqx openssl-1.1.1i]# ln -s /opt/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
[root@muqx openssl-1.1.1i]# ldconfig
#再次測試驗證:
[root@muqx pkgconfig]# openssl version
OpenSSL 1.1.1i  8 Dec 2020

完成升級


遊戲是我的全部圖景,我將演繹所有的遊戲角色,我是每個活著角色的傳奇。   --清

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29494175/viewspace-2914209/,如需轉載,請註明出處,否則將追究法律責任。

相關文章