Linux From Scratch - Versjon 12.0

Chapter 8. Installere grunnleggende systemprogramvare

8.47. OpenSSL-3.1.2

OpenSSL pakken inneholder administrasjonsverktøy og relaterte biblioteker til kryptografi. Disse er nyttige for å tilby kryptografiske funksjoner til andre pakker, for eksempel OpenSSH, e-postapplikasjoner og nettlesere (for tilgang til HTTPS-nettsteder).

Omtrentlig byggetid: 3.0 SBU
Nødvendig diskplass: 587 MB

8.47.1. Installasjon av OpenSSL

Forbered OpenSSL for kompilering: 

./config --prefix=/usr         \
         --openssldir=/etc/ssl \
         --libdir=lib          \
         shared                \
         zlib-dynamic

Kompiler pakken: 

make

For å teste resultatene, utsted: 

make test

En test, 30-test_afalg.t, er kjent for å mislykkes hvis vertskjernen ikke har CONFIG_CRYPTO_USER_API_SKCIPHER aktivert, eller ikke har noen alternativer som gir en AES med CBC implementering (for eksempel en kombinasjonen av CONFIG_CRYPTO_AES og CONFIG_CRYPTO_CBC, eller CONFIG_CRYPTO_AES_NI_INTEL hvis CPU støtter AES-NI) aktivert. Hvis den mislykkes, kan den trygt ignoreres.

Installer pakken: 

sed -i '/INSTALL_LIBS/s/libcrypto.a libssl.a//' Makefile
make MANSUFFIX=ssl install

Legg til versjonen i dokumentasjonskatalognavnet, for å være i samsvarer med andre pakker: 

mv -v /usr/share/doc/openssl /usr/share/doc/openssl-3.1.2

Hvis ønskelig, installer litt tilleggsdokumentasjon: 

cp -vfr doc/* /usr/share/doc/openssl-3.1.2
[Note]

Note

Du bør oppdatere OpenSSL når en ny versjon som fikser sårbarheter er annonsert. Siden OpenSSL 3.0.0, OpenSSL-versjonsordningen følger MAJOR.MINOR.PATCH-formatet. API/ABI-kompatibilitet er garantert for samme MAJOR versjonsnummer. Fordi LFS installerer kun de delte bibliotekene, er det ikke nødvendig å rekompilere pakker som lenker til libcrypto.so eller libssl.so ved oppgradering til en versjon med uendret MAJOR versjonsnummer.

Hvis OpenSSH er installert, vil det være et unntak fra hovedregelen ovenfor. Den inneholder en over-restriktiv OpenSSL versjonssjekk, så både SSH klienten og SSH serveren vil nekte å starte hvis OpenSSL er oppdatert med MAJOR versjonsnummer uendret men MINOR versjonnummer endret. Du må bygge opp igjen OpenSSH etter en slik oppgradering. Hvis OpenSSH blir brukt for å få tilgang til systemet, må du bygge det på nytt og installere det på nytt etter oppgradering av OpenSSL til et nytt MINOR versjonsnummer før utlogging ellers du vil ikke kunne logge på via SSH lenger.

Imidlertid må alle kjørende programmer koblet til disse bibliotekene stoppes og startes på nytt. Les de relaterte oppføringene i Section 8.2.1, “Oppgraderingsproblemer” for detaljer.

8.47.2. Innhold i OpenSSL

Installerte programmer: c_rehash og openssl
Installerte biblioteker: libcrypto.so og libssl.so
Installerte mapper: /etc/ssl, /usr/include/openssl, /usr/lib/engines og /usr/share/doc/openssl-3.1.2

Korte beskrivelser

c_rehash

er et Perl skript som skanner alle filer i en katalog og legger til symbolske lenker til deres hash-verdier. Bruk av c_rehash vurderes foreldet og bør erstattes av openssl rehash kommandoen

openssl

er et kommandolinjeverktøy for bruk av de ulike kryptografifunksjonene til OpenSSL sitt kryptobibliotek fra skallet. Den kan brukes til ulike funksjoner som er dokumentert i man 1 openssl

libcrypto.so

implementerer et bredt spekter av kryptografiske algoritmer som brukes i ulike Internettstandarder. Tjenestene som tilbys av dette biblioteket brukes av OpenSSL implementeringer av SSL, TLS og S/MIME, og de har også blitt brukt til å implementere OpenSSH, OpenPGP, og andre kryptografiske standarder

libssl.so

implementerer protokollen Transport Layer Security (TLS v1). Det gir en rik API, dokumentasjon kan bli funnet ved å kjøre man 7 ssl