Linux下OpenSSL升级(1.0.2 -> 1.1.1)并重新编译Nginx

原创 已于 2025-03-18 11:23:51 修改 · 5.4k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #ssl #nginx

于 2022-10-14 13:17:33 首次发布
本文介绍如何在Linux环境下从OpenSSL 1.0.2升级到1.1.1版本,包括下载安装新版本、配置环境变量及使用yum工具进行升级的方法。

Linux下OpenSSL升级(1.0.2 -> 1.1.1)

  1. 查看当前OpenSSL版本
  openssl version
  1. 下载并安装1.1.1版本的OpenSSL
//下载并解压 
  cd /usr/local/
  wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz
  tar zxvf openssl-1.1.1w.tar.gz
  cd ./openssl-1.1.1w/

//预编译到指定安装路径,生成Makefile文件,
//-t参数可测试编译情况,–prefix:指定安装目录;
配置config 说明:
//–openssldir:指定openssl配置文件路径;
//--prefix:指定安装目录
//--openssldir:指定配置文件目录
//shared:作用是生成动态连接库
  ./config --prefix=/opt/openssl --openssldir=/usr/local/openssl

//编译,如果编译失败,可执行 make clean 或者编译前用 make test 测试编译情况而不直接编译
  make
  
//编译成功后安装
  make install

(注意:编译失败可能需要更新zlib、gcc 可能会出现 缺少openssl开发依赖包)

yum -y install gcc pam-devel zlib-devel openssl-devel net-tools
  1. 变更系统PATH路径
  vim /etc/profile
//在打开的文件的最后一行添加
  export PATH="/opt/openssl/bin:$PATH"
//然后按Esc,输入:wq 使文件保存并退出
//是新配置的环境变量生效
  source /etc/profile
  1. 配置新的资源库路径
# 检查openssl-1.1.1w所需要的函数库
ldd /opt/openssl/bin/openssl
# 添加openssl-1.1.1w的库文件路径到ld.so.conf
echo "/opt/openssl/lib" >> /etc/ld.so.conf
# 如果有显示个别 not found,查找库的实际路径(例如在 /usr/lib64/ 或自定义目录)
sudo find / -name "libssl.so.1.1" -o -name "libcrypto.so.1.1"
# 根据上一步找到的路径,将库路径添加到系统配置(假设库在 /opt/openssl/lib/)
echo "/opt/openssl/lib" | sudo tee /etc/ld.so.conf.d/openssl.conf
# 没有not found后,更新系统函数库库 
ldconfig
# 绝对路径查看openssl版本
ldd /opt/openssl/bin/openssl
# 查看旧版本的openssl命令路径
which openssl
# 重命名为openssl.old
mv /usr/local/openssl /usr/local/openssl.old   #重命名openssl文件
# 使用软连接的方式更新openssl命令
ln -s /opt/openssl/bin/openssl /usr/local/openssl
# openssl命令查看版本呢
openssl version

5.重新编译Nginx(TLS1.3需要1.15以上版本)

./configure --prefix=/usr/local/nginx \
--with-http_stub_status_module \
--with-http_ssl_module \
--with-openssl=/opt/openssl

执行make后如果报错修改配置文件
如果在执行make后报错,修改nginx源码目录中auto/lib/openssl/conf中的openssl路径参数,在40行左右的位置对应四个参数中的.openssl去掉,修改后的内容如下:

  39             CORE_INCS="$CORE_INCS $OPENSSL/include"
  40             CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"
  41             CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"
  42             CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"

修改完成后重新编译安装(执行make clean,再重新执行configure操作)

#Nginx 配置文件中将ssl做如下修改即可
ssl_protocols TLSv1.2 TLSv1.3;
#进入指定目录
cd /usr/local/nginx/sbin/
#检查nginx配置文件是否正确
./nginx -t
#启动nginx
./nginx
#停止nginx
./nginx -s stop
#重启nginx
./nginx -s reload
openssl1.0.2版本Windows安装问题
肥宝的实验室
11-17 1899
后来越想越不对劲,肯定要dll文件的,全局搜索一下,发现好多软件都自带libeasy32.dll和ssleay32.dll,如果有哪个路径是在环境变量中的,应该会被搜索到。编译出lib之后,拿去编译项目工程,发现能编译过了,然后运行的时候,发现没有dll文件居然也可以运行。流程可能稍微缩减了一下,由于安装1.1版本的时候,已经装了好多配套的东西,这里不再重复叙述,参考上面1.1版本的文章就好。后来发现linux编译不过,以为是版本问题,相差太大,所以降一下版本,以免后面写代码有问题。之前安装过1.1版本,
openssl 1.0.2 漏洞修复指南
桀骜不逊
04-03 8900
项目初衷 因为Openssl1.0.2版本,官方已不再维护开源版本。Openssl-1.0.2u为最新的1.0.2正式发布的开源版本。 但是,Openssl-1.0.2u后续又爆出了一些漏洞,官方又不再维护,如何解决这些漏洞呢? 1. 大版本升级升级1.1.1系列,或者3.x.x版本。 2. 将漏洞修复代码合入到1.0.2u,继续使用1.0.2u。 考虑到项目中使用openssl大版本升级影响较大,项目中依赖openssl的原有模块都需要修改重新编译。所以,本文重点介绍第二种解决方案。 Openss
CentOS 7.9安装OpenSSL 1.1.1w
hahaha_1112的博客
10-09 637
本文介绍了在Linux系统上安装OpenSSL 1.1.1w的详细步骤。首先下载源代码解压,然后配置安装路径进行编译安装。接着设置环境变量使系统识别新版本,通过编辑全局配置文件保证永久生效。最后验证安装是否成功。该过程解决了Python3.11安装时对OpenSSL版本的要求问题,同时避免了与系统自带OpenSSL的冲突。关键步骤包括指定安装目录、配置环境变量和验证版本号,确保新安装的OpenSSL能被系统正确识别和使用。
Windowns编译OpenSSL
zuoweijie_的博客
11-26 1017
开发过程中需要上传数据,URL是https的,Qt默认是http网络请求,访问https需要用到SSL认证,而Qt默认不支持,需要自己编译OpenSSL库。
linux升级openssl1.1.1
qq_37243144的博客
06-19 9718
1、下载解压openssl wgethttps://www.openssl.org/source/openssl-1.1.1c.tar.gz tar -zxvfopenssl-1.1.1c.tar.gz 2、进入openssl编译 cd openssl-1.1.1c ./config no-shared --libdir=lib make make install_sw 3、执...
Linux升级opensslopenssl-1.1.1版本
唯有热爱 可抵万难
04-02 2644
【代码】Linux升级opensslopenssl-1.1.1版本。
精选资源
OpenSSL 1.0.2-1.1.0-1.1.1等多个版本的编译好的Win32/Win64安装程序
05-31
Win64OpenSSL-1_1_1i.msi Win64OpenSSL-1_1_0h.exe Win64OpenSSL-1_0_2n.exe Win64OpenSSL_Light-1_1_1i.msi Win32OpenSSL-1_1_1i.msi Win32OpenSSL-1_1_0h.exe Win32OpenSSL-1_0_2c.exe
精选资源
openssl-1.1.1w-aarch64-el7.tgz
07-03
openssl 1.1.1w版本,二进制rpm包 适用于centos 7 redhat 7 系列,arm架构CPU的操作系统 openssl安装路径为/usr/local/openssl
openssl-1.0.2j-el51.x86_64.rpm安装包
11-10
以上RPM包,本人在CentOS release 5.11安装后,可以正常工作,Redhat 5版本系统自动安装了...重要提示:生产环境,慎重升级或在非生产时间升级,及时做好备份回滚,尤其是有使用到openssl的服务,比如nginx或openssh。
[root@localhost nginx-1.28.0]# rpm -qa | grep openssl openssl098e-0.9.8e-29.el7.centos.3.x86_64 openssl-libs-1.0.2k-25.el7_9.x86_64 openssl-libs-1.0.2k-12.el7.x86_64 xmlsec1-openssl-1.2.20-7.el7_4.x86_64 openssl-devel-1.0.2k-12.el7.x86_64 openssl-1.0.2k-12.el7.x86_64 openssl-1.0.2k-25.el7_9.x86_64 [root@localhost nginx-1.28.0]#
最新发布
12-12
由于系统默认的 OpenSSL 版本可能过低(1.0.2),而 nginx-1.28.0 可能需要更高版本(如 1.1.1 以上),我们可以手动下载编译较高版本的 OpenSSL,然后在配置 nginx 时指定其源码路径。 1. **下载 OpenSSL 源码**...
精选资源
Nginx1.24.0版本Linux已编译解压可直接使用
04-14
Linux环境Nginx1.24.0版本,解压即用。 解压后使用./nginx -V可查看版本和编译信息。 编译参数包含flv、pcre-8.45、openssl-1.1.1l、zlib-1.2.11等,满足基本使用;
linuxOpenSSL升级1.1以上版本
php-yyds
06-26 1420
升级之前,请确保您已经考虑了这些依赖关系,可能需要进行相应的配置更改。要将CentOS 7上的OpenSSL升级1.1以上版本,您需要遵循以下步骤。请注意,这些步骤可能需要一些系统管理经验,因为您将从源代码编译和安装OpenSSL。为了使新安装的OpenSSL版本成为系统的默认版本,您需要更新一些环境变量。* 如果您使用的是虚拟环境或容器化解决方案(如Docker),请考虑在这些环境中进行OpenSSL升级,以避免影响整个系统。配置、编译和安装OpenSSL。首先,确保您的系统软件包是最新的。
OpenSSL 升级1.1.1
技术小站
07-18 6997
OpenSSL 升级1.1.1
openssl升级openssl-1.1.1
weixin_45439432的博客
09-23 750
openssl升级
centos7.3——OpenSSL1.0.2升级OpenSSL 1.1.1
SillyBoy的博客
03-18 3964
centos7.3——OpenSSL升级
Linux升级openssl版本
热门推荐
qq_41570012的博客
07-04 1万+
openssl版本升级
linux升级openssl1.1版本
shangjg3的博客
09-21 916
1.已安装openssl-1.1s 但是找不到。1.已安装openssl-1.1s 但是找不到。
openssl库版本从1.0.2升级1.1.1版本后,SSL_connet失败
dufan_2022的博客
09-11 838
由于最近有个需求,要升级开发版上的openssl库的版本,直接从官网下载了1.1.1d版本就开始移植,编译等问题很快就解决了,但是测试ssl功能时,总是在加密连接时,报错返回失败。后面又在linux环境上跑一个demo,可以正常连接,但是将demo程序编译后放在开发版上,就一样是connet失败。虽然在Makefile中我们把-m64去掉了,但是开发板的环境是32位的,所以我们需要在openssl_conf.h.in中将这个改为。在根据打印信息定位原因,是错在一个签证验证环节,但是无法继续定位下去。
Linux如何升级openssl
MssGuo的博客
07-11 5038
升级OpenSSL
删除openssl1.0.2,安装1.1.1.
08-08
<think>首先,用户的问题是关于升级OpenSSL版本,从1.0.21.1.1。我需要参考提供的引用内容,但用户说这些引用仅供参考,不是真正的需求。我应该基于用户的问题和我的知识来回答。 用户的问题:"我想升级OpenSSL版本 请问如何从OpenSSL 1.0.2升级1.1.1" 引用[1]和[2]都提供了升级步骤,但针对CentOS系统。用户没有指定系统,所以我应该假设是Linux系统,如CentOS,因为引用是CentOS相关的。但为了通用性,我应该提到步骤可能因系统而异。 关键步骤从引用中提取: - 下载OpenSSL 1.1.1t源码 - 解压 - 编译和安装:./config ... make && make install - 替换旧文件:备份旧openssl,创建符号链接 - 验证版本 我需要确保回答结构清晰,逐步帮助用户解决问题。使用中文回答。 系统级指令要求: - 行内数学表达式用$...$,但这个问题可能不涉及数学,所以可能不需要。 - 独立公式用$$...$$,但同样,可能不适用。 - LaTeX语法正确:如果有数学,但这里可能没有。 - 生成相关问题:在回答后添加相关问题。 - 引用的段落末尾添加引用标识,如[^1]。既然引用是提供的,我应该引用它们。 用户说:"上述引用仅供参考,不是用户真正的需求,请尽可能多的参考用户上一次的问题和你的回答。" 用户上一次的问题就是这个,没有历史,所以我应该基于这个。 回答结构: 1. 介绍升级OpenSSL的重要性和注意事项。 2. 逐步说明升级步骤。 3. 包括验证步骤。 4. 添加相关问题。 步骤从引用中: 1. 检查当前版本:openssl version 2. 下载源码:wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.1t.tar.gz 3. 解压:tar -zxf openssl-1.1.1t.tar.gz 4. 进入目录:cd openssl-1.1.1t 5. 配置:./config -Wl,-rpath=/usr/lib64 --prefix=/usr/local/openssl --openssldir=/usr/local/openssl --libdir=/usr/lib64 6. 编译和安装:make -j 4 && make install 7. 替换旧文件:备份 /usr/bin/openssl,创建符号链接:mv /usr/bin/openssl /usr/bin/openssl.bak; ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl 8. 验证:openssl version 注意:-j 4 是行编译,取决于CPU核心数。 系统可能不同,所以建议用户根据系统调整。 添加警告:升级系统关键组件可能影响依赖它的应用程序,如Apache、Nginx等。建议在测试环境中进行。 生成相关问题。 最终回答用中文。</think>### OpenSSL1.0.2 升级1.1.1 的详细指南 升级 OpenSSL 是重要的安全更新,因为 1.1.1 版本修复了旧版中的多个漏洞,支持新特性(如 TLS 1.3)。但请注意:**升级系统级组件可能影响依赖 OpenSSL 的应用程序(如 Apache、Nginx 或 SSH),建议先在测试环境中操作,备份关键数据**[^1]。以下步骤基于 Linux 系统(如 CentOS 或 Ubuntu),如果使用其他系统,部分命令可能需要调整(例如,路径或包管理器)。 #### 步骤 1: 检查当前 OpenSSL 版本 在升级前,确认当前版本,避免重复操作。 ```bash openssl version # 输出应类似:OpenSSL 1.0.2k-fips ... ``` #### 步骤 2: 下载 OpenSSL 1.1.1 源码 从官方源下载最新稳定版(这里以 1.1.1t 为例)。使用 `wget` 下载,跳过证书检查(`--no-check-certificate` 可选,适用于临时网络问题)。 ```bash wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.1t.tar.gz ``` #### 步骤 3: 解压源码包 解压下载的文件,进入目录。 ```bash tar -zxf openssl-1.1.1t.tar.gz cd openssl-1.1.1t ``` #### 步骤 4: 配置编译选项 运行 `./config` 指定安装路径和参数。关键选项: - `--prefix=/usr/local/openssl`:安装到独立目录,避免覆盖系统文件。 - `--libdir=/usr/lib64`:确保库文件路径正确(64 位系统)。 - `-Wl,-rpath=/usr/lib64`:设置运行时库路径。 - `make -j 4`:行编译(`4` 是线程数,根据 CPU 核心数调整,例如 `-j $(nproc)`)。 ```bash ./config -Wl,-rpath=/usr/lib64 --prefix=/usr/local/openssl --openssldir=/usr/local/openssl --libdir=/usr/lib64 ``` #### 步骤 5: 编译和安装 执行编译和安装命令。如果遇到依赖错误(如缺少 `gcc` 或 `make`),先安装开发工具包(例如 CentOS: `yum groupinstall "Development Tools"`)。 ```bash make -j 4 && make install ``` #### 步骤 6: 替换系统旧版本 升级后,需更新系统链接,使新版本生效。**备份原文件以防回滚**。 ```bash mv /usr/bin/openssl /usr/bin/openssl.bak # 备份旧版 ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl # 创建符号链接 ``` #### 步骤 7: 更新库链接验证 重新加载库路径,检查版本是否更新。 ```bash ldconfig # 更新动态库缓存 openssl version # 输出应类似:OpenSSL 1.1.1t ... ``` 如果输出仍是旧版,运行 `export LD_LIBRARY_PATH=/usr/local/openssl/lib:$LD_LIBRARY_PATH` 临时设置路径,或重启系统。 #### 步骤 8: 测试依赖应用程序 重启依赖 OpenSSL 的服务(如 SSH 或 Web 服务器),确保无错误。 ```bash systemctl restart sshd # 重启 SSH 服务 ssh -V # 检查 SSH 是否使用新版本 ``` #### 注意事项 - **权限问题**:如果命令失败,尝试用 `sudo` 执行。 - **系统兼容性**:CentOS 7 等旧系统可能需额外步骤(如更新 `ld.so.conf`)[^2]。 - **回滚方法**:如果出错,恢复备份文件:`mv /usr/bin/openssl.bak /usr/bin/openssl`。 - **安全建议**:升级后运行 `openssl s_client -connect example.com:443` 测试 TLS 握手。 通过以上步骤,您可安全升级 OpenSSL。如果遇到问题,提供错误日志可进一步诊断[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值