• 爱搜路由
  • </>
  • 网站建设
  • </>
  • CentOS 7升级OpenSSL,OpenSSL实现生成自签名SSL证书
    • 2020
    07-26

    CentOS 7升级OpenSSL,OpenSSL实现生成自签名SSL证书

    按照我的理解来解释下,为了让网络通信更安全,需要认证和加密,认证是说明你是要找的人,加密是为了让截获中间报文第三者无法得到消息内容。为此设计了SSL,即套接字上的安全层,简单来说就是在TCP之上做一个安全通信层,HTTP on SSL 即是HTTPs,现在几乎所有网站访问都是基于HTTPS协议的。但CentOS 7.x 的 OpenSSL 软件版本实在是低,存成不少高危漏洞。今天就介绍一下CentOS如何升级OpenSSL到最新版本

    CentOS 7升级OpenSSL

    根据“漏洞参考这里:https://www.trustasia.com/OpenSSL-CVE-2016-2107-Padding-Oracle”查看这篇文章发现openssl低版本已经有一堆漏洞了,所以就萌生了升级openssl版本的想法。

    1.查看openssl版本 

    openssl version

    显示目前版本OpenSSL 1.0.2k-fips 26 Jan 2017

    2.安装依赖包 

    sudo yum -y install perl perl-devel gcc gcc-c++

    3.下载最新版本并编译安装

    到官网查看最新版本下载地址: https://www.openssl.org/source/

    目前最新版本是 openssl-1.1.1f(2020年3月31日)

    将openssl-1.1.1f.tar.gz下载到/usr/local/src目录,请依次输入下命令: 

    cd /usr/local/src
wget https://www.openssl.org/source/openssl-1.1.1f.tar.gz
tar xzvf ./openssl-1.1.1f.tar.gz
cd openssl-1.1.1f
./config
make
make test
sudo make install

    4、升级openssl程序文件 

    sudo mv /usr/bin/openssl /usr/bin/oldopenssl
sudo mv /usr/include/openssl /usr/include/oldopenssl
sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
sudo ln -s /usr/local/ssl/include/openssl /usr/include/openssl

    如果执行openssl version报下面错误:

    openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

    则执行下面命令解决: 

    sudo ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/
sudo ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/

    后查看当前版本:openssl version 显示OpenSSL 1.1.1f 31 Mar 2020升级成功。

    宝塔面板服务器开启纯IPV6访问

    建议用CentOS7

    编辑/etc/resolv.conf,改成DNS64地址 

    nameserver 2001:67c:2b0::4
nameserver 2001:67c:27e4::64

    然后编辑/etc/yum/pluginconf.d/fastestmirror.conf,改一下 

    enable=0

    更新

    yum update

    安装宝塔面板

    输入bt把面板端口改到8080,CF套上,直接域名+8080访问

    OpenSSL生成自签名SSL证书

    OpenSSL 支持 RSA、DSA 和 ECDSA 密钥,但是在实际场景中只是用 RSA 和 ECDSA 密钥。例如 Web 服务器的密钥,都使用RSA或ECDSA,因为DSA效率问题会限制在1024位(相对旧版本浏览器不支持更长的DSA密钥),ECDSA还没有全面范围的普及。比如SSH,一般都是使用DSA和RSA,而不是所有的客户端(不只是浏览器)都支持ECDSA算法。

    OpenSSL是实现安全套接层(SSL)和安全传输层(TLS)协议的开源通用加密库,随着越来越多的企业对安全意识的提高,即便是企业局域网部署的Web网站也被强制要求使用https加密协议,使用OpenSSL生成自签名证书便是解决方案之一。原文:OpenSSL生成自签名SSL证书

    如无特殊说明,解压密码均为:aisoa.cn

    您可能感兴趣的文章

    支付宝打赏支付宝打赏微信打赏微信打赏

    您可能还会对这些文章感兴趣!