Как обновить OpenSSL 1.1.0 до 1.1.1 в Ubuntu 18.04?

17

Я работал на производственном сервере с установленной Ubuntu 18. Недавно я обнаружил, что мое веб-приложение не было разрешено на некоторых брандмауэрах, установленных у клиента.

Я обнаружил, что мой сервер взаимодействует по TLSv1.0, TLSv1.1, TLSv1.2протоколам, я предполагаю, что настройка брандмауэра разрешает связь с сервером TLSv1.3только по протоколу.

Поскольку Ubuntu 18 поставляется с OpenSSL version 1.1.0сервером, и для поддержки сервера TLS v1.3мне нужно обновить OpenSSL до version 1.1.1последней версии.

Поскольку это рабочий сервер, на котором работает nginxсервер, я не хочу напрямую что-либо пробовать на сервере.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Каков наилучший способ обновить OpenSSL до v1.1.1, не нарушая другие настройки сервера?

18.04 upgrade openssl доллар
источник
2
К вашему сведению: »OpenSSL 1.1.1 SRU в Bionic« lists.ubuntu.com/archives/ubuntu-devel/2018-De декабря/… Тем временем поговорите с соответствующим контактным лицом, отвечающим за настройку брандмауэра, спросите требования / рекомендации / отказы. Я сомневаюсь, что вы единственный, кто работает с 18.04 и у вас есть эта проблема, и при этом я не думаю, что не поддержка TLS 1.3 в данный момент является проблемой, так как она все еще довольно новая и вопреки вашему утверждению, я прочитал, что она все еще вызывает проблемы с некоторыми промежуточные ящики, но вы не узнаете, если не спросите.
LiveWireBT
2
Модернизация не будет возможна, пока этот SRU не пройдет. Просто слишком много вещей, которые зависят от OpenSSL, чтобы выполнить обновление самостоятельно, потому что это может сломать все.
Томас Уорд
1
наконец, bugs.launchpad.net/ubuntu/+source/openssl/+bug/1797386 находится в прогрессе
Тино,

Ответы:

34

ПРИМЕЧАНИЕ . По состоянию на ~ август 2019 года openSSL 1.1.1 должен быть доступен для установки через обычные обновления / установки пакетов на 18.04. Или вы можете скачать пакет .deb прямо отсюда .

По данным сайта OpenSSL :

Последняя стабильная версия - серия 1.1.1. Это также наша версия долгосрочной поддержки (LTS), поддерживаемая до 11 сентября 2023 года.

Поскольку этого нет в текущих репозиториях Ubuntu, вам нужно будет вручную загрузить, скомпилировать и установить последнюю версию OpenSSL.

Ниже приведены инструкции для подражания:

  1. Откройте терминал ( Ctrl+ Alt+ t).
  2. Получить архив: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Распакуйте архив с tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Выполните команду ./config.
  5. Выполните команду make(возможно, вам придется запустить ее sudo apt install make gccдо успешного выполнения).
  6. Запустите, make testчтобы проверить возможные ошибки.
  7. Резервное копирование текущего двоичного файла openssl: sudo mv /usr/bin/openssl ~/tmp
  8. Выполните команду sudo make install.
  9. Создайте символическую ссылку из недавно установленного двоичного файла в папку по умолчанию: 
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
  10. Запустите команду, sudo ldconfigчтобы обновить символические ссылки и перестроить кеш библиотеки.

Предполагая, что при выполнении шагов с 4 по 10 не было ошибок, вы должны были успешно установить новую версию OpenSSL.

Снова из терминала выполните команду: 

openssl version

Ваш вывод должен быть следующим:

OpenSSL 1.1.1a  20 Nov 2018
Кевин Боуэн
источник
1
Относительно «По состоянию на июнь 2019 года openSSL 1.1.1 должен быть доступен для установки через обычные обновления / установки пакетов»: просто не заметьте, что это не относится к Ubuntu 18.04 (по крайней мере, на двух машинах, на которых я пробовал) ) ...
logidelic
@logidelic Интересно. Спасибо что подметил это. Я запомню это. Мои основные системы - 19.04, и у меня есть пара производных (Mint) на основе бионики (18.04), которые уже получили бэкпорты. По всей видимости, launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4 он все еще может быть «предложен» или доступен в качестве источника в 18.04. Я не совсем уверен в статусе.
Кевин Боуэн
Также работал над Debian Jessie. Используется 1.1.1c, так как это та же версия в Buster.
Рудольф Вавруч