openssl版本升级操作记录【转】

需要部署nginx的https环境，之前是yum安装的openssl，版本比较低，如下：

[root@nginx ~]# yum install -y pcre pcre-devel openssl openssl-devel gcc

[root@nginx ~]# openssl version -a

OpenSSL 1.0.1e-fips 11 Feb 2013

built on: Wed Mar 22 21:43:28 UTC 2017

platform: linux-x86_64

options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)

compiler: gcc

-fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM

OPENSSLDIR: "/etc/pki/tls"

engines: rdrand dynamic

默认yum安装的openssl版本是1.0.1，现在需要将版本升级到1.1.0。升级的操作记录如下：

[root@nginx ~]# wget https://www.openssl.org/source/openssl-1.1.0g.tar.gz

[root@nginx ~]# tar -zvxf openssl-1.1.0g.tar.gz

[root@nginx ~]# cd openssl-1.1.0g

[root@nginx openssl-1.1.0g]# ./config shared zlib

[root@nginx openssl-1.1.0g]# make

[root@nginx openssl-1.1.0g]# make install

[root@nginx openssl-1.1.0g]# mv /usr/bin/openssl /usr/bin/openssl.bak

[root@nginx openssl-1.1.0g]# mv /usr/include/openssl /usr/include/openssl.bak

[root@nginx openssl-1.1.0g]# find / -name openssl

/etc/pki/ca-trust/extracted/openssl

/data/software/nginx-1.12.2/auto/lib/openssl

/data/software/openssl-1.1.0g/apps/openssl

/data/software/openssl-1.1.0g/include/openssl

/usr/lib64/openssl

/usr/local/share/doc/openssl

/usr/local/include/openssl

/usr/local/bin/openssl

/usr/include/openssl

/usr/bin/openssl

[root@nginx openssl-1.1.0g]# ln -s /usr/local/bin/openssl /usr/bin/openssl

[root@nginx openssl-1.1.0g]# ln -s /usr/local/include/openssl /usr/include/openssl

[root@external-lb01 ~]# find / -name "libssl*"

/data/software/openssl-1.1.0g/libssl.pc

/data/software/openssl-1.1.0g/libssl.so

/data/software/openssl-1.1.0g/libssl.a

/data/software/openssl-1.1.0g/libssl.so.1.1

/data/software/openssl-1.1.0g/util/libssl.num

/usr/lib64/libssl3.so

/usr/lib64/pkgconfig/libssl.pc

/usr/lib64/libssl.so.1.0.1e

/usr/lib64/libssl.so

/usr/lib64/libssl.so.10

/usr/local/lib64/libssl.a

/usr/local/lib64/pkgconfig/libssl.pc

/usr/local/lib64/libssl.so

/usr/local/lib64/libssl.so.1.1

[root@nginx openssl-1.1.0g]# echo "/usr/local/lib64/" >> /etc/ld.so.conf

[root@nginx openssl-1.1.0g]# ldconfig

[root@nginx openssl-1.1.0g]# openssl version -a

OpenSSL 1.1.0g 2 Nov 2017

built on: reproducible build, date unspecified

platform: linux-x86_64

compiler: gcc

-DZLIB -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR=

"\"/usr/local/ssl\"" -DENGINESDIR="\"/usr/local/lib64/engines-1.1\"" -Wa,--noexecstack

OPENSSLDIR: "/usr/local/ssl"

ENGINESDIR: "/usr/local/lib64/engines-1.1"

=========openssl升级后编译nginx出现的问题========
如上将本机的openssl升级后，由于之前编译的nginx里没有stream模块，现在需要手动平滑添加stream模块，操作如下：

检查下，发现nginx没有安装stream模块

[root@external-lb01 ~]# /data/nginx/sbin/nginx -V

nginx version: nginx/1.12.2

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC)

built with OpenSSL 1.1.0g 2 Nov 2017

TLS SNI support enabled

configure arguments: --prefix=/data/nginx

--user=www

 --group=www --with-http_ssl_module --with-http_flv_module

--with-http_stub_status_module --with-http_gzip_static_module

--with-pcre

操作之前，一定要备份一下之前的nginx安装目录，防止操作失败进行回滚！

[root@external-lb01 ~]# cp -r /data/nginx /mnt/nginx.bak

之前的编译命令是：

[root@external-lb01 vhosts]# cd /data/software/nginx-1.12.2

[root@external-lb01 nginx-1.12.2]

#

 ./configure --prefix=/data/nginx --user=www --group=www

--with-http_ssl_module --with-http_flv_module

--with-http_stub_status_module --with-http_gzip_static_module

--with-pcre

现在需要手动添加stream，编译命令如下：

[root@external-lb01 vhosts]# cd /data/software/nginx-1.12.2

[root@external-lb01 nginx-1.12.2]

#

 ./configure --prefix=/data/nginx --user=www --group=www

--with-http_ssl_module --with-http_flv_module

--with-http_stub_status_module --with-http_gzip_static_module

--with-pcre --with-stream

报错如下：

......

./configure: error: SSL modules require the OpenSSL library.

You can either do not enable the modules, or install the OpenSSL library

into the system, or build the OpenSSL library statically from the source

with nginx by using --with-openssl=<path> option.

原因分析：是由于openssl升级所致！

[root@external-lb01 nginx-1.12.2]# openssl version -a

OpenSSL 1.1.0g 2 Nov 2017

built on: reproducible build, date unspecified

platform: dist

compiler: cc -DNDEBUG -DOPENSSL_NO_DYNAMIC_ENGINE -DOPENSSLDIR="\"/usr/local/ssl\"" -DENGINESDIR="\"/usr/local/lib/engines-1.1\""

OPENSSLDIR: "/usr/local/ssl"

ENGINESDIR: "/usr/local/lib/engines-1.1

所以编译命令需要改为：

[root@external-lb01 nginx-1.12.2]

#

 ./configure --prefix=/data/nginx --user=www --group=www

--with-http_ssl_module --with-http_flv_module

--with-http_stub_status_module --with-http_gzip_static_module

--with-pcre --with-stream --with-openssl=/usr/local/ssl

然后进行make，千万注意！！！！一定不要make install！！！否则会自动覆盖掉之前的配置！！！

[root@external-lb01 nginx-1.12.2]# make

又报错如下：

.......

make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127

make[1]: Leaving directory `/usr/local/src/nginx-1.9.9'

make: *** [build] Error 2

解决办法：

[root@external-lb01 nginx-1.12.2]# cd auto/lib/openssl

[root@external-lb01 openssl]# cp conf /mnt/

[root@external-lb01 openssl]# vim nginx

将

CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"

CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"

CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"

CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"

CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

修改为

CORE_INCS="$CORE_INCS $OPENSSL/include"

CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"

CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"

CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"

CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

接着继续make安装

[root@external-lb01 nginx-1.12.2]# make

又报错说找不到下面两个文件

/usr/local/ssl/lib/libssl.a

/usr/local/ssl/lib/libcrypto.a

解决办法：

[root@external-lb01 nginx-1.12.2]# mkdir /usr/local/ssl/lib

[root@external-lb01 nginx-1.12.2]# ln -s /usr/local/lib64/libssl.a /usr/local/ssl/lib/libssl.a

[root@external-lb01 nginx-1.12.2]# ln -s /usr/local/lib64/libcrypto.a /usr/local/ssl/lib/libcrypto.a

然后make就可以了

[root@external-lb01 nginx-1.12.2]# make

最后进行平滑操作

[root@external-lb01 nginx-1.12.2]# cp -f /data/software/nginx-1.12.2/objs/nginx /data/nginx/sbin/nginx

[root@external-lb01 nginx-1.12.2]# pkill -9 nginx

[root@external-lb01 nginx-1.12.2]# /data/nginx/sbin/nginx

检查下，发现nginx已经安装了stream模块了

[root@external-lb01 nginx-1.12.2]# /data/nginx/sbin/nginx -V

nginx version: nginx/1.12.2

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC)

built with OpenSSL 1.1.0g 2 Nov 2017

TLS SNI support enabled

configure arguments: --prefix=/data/nginx

--user=www

 --group=www --with-http_ssl_module --with-http_flv_module

--with-http_stub_status_module --with-http_gzip_static_module

--with-pcre --with-stream --with-openssl=

/usr/local/ssl

转自

openssl版本升级操作记录 - 散尽浮华 - 博客园 http://www.cnblogs.com/kevingrace/p/8058535.html

openssl版本升级操作记录【转】的更多相关文章

openssl版本升级操作记录
需要部署nginx的https环境,之前是yum安装的openssl,版本比较低,如下: [root@nginx ~]# yum install -y pcre pcre-devel openssl ...
CentOS6.9下升级默认的OpenSSH操作记录（升级到OpenSSH_7.6p1）
近期对IDC机房服务器做了一次安全漏洞扫描,漏扫结果显示服务器的OpenSSH版本太低(CentOS6默认是OpenSSH_5.3p1),存在漏洞隐患,安全部门建议升级到OpenSSH_7.6p1.升 ...
nginx缓存配置的操作记录梳理
web缓存位于内容源Web服务器和客户端之间,当用户访问一个URL时,Web缓存服务器会去后端Web源服务器取回要输出的内容,然后,当下一个请求到来时,如果访问的是相同的URL,Web缓存服务器直接输 ...
centos下升级git版本的操作记录
在使用git pull.git push.git clone的时候,或者在使用jenkins发版的时候,可能会报类似如下的错误: error: The requested URL returned e ...
linux下用户操作记录审计环境的部署记录
通常,我们运维管理人员需要知道一台服务器上有哪些用户登录过,在服务器上执行了哪些命令,干了哪些事情,这就要求记录服务器上所用登录用户的操作信息,这对于安全维护来说很有必要.废话不多说了,下面直接记录做 ...
squid代理http和https方式上网的操作记录
需求说明:公司IDC机房有一台服务器A,只有内网环境:192.168.1.150现在需要让这台服务器能对外访问,能正常访问http和https请求(即80端口和443端口)操作思路:在IDC机房里另找 ...
centos6下升级git版本的操作记录
编译go_ethereum的时候出现了错误然后发现是自己的git没有升级成功因为编译需要高版本的git版本所以会编译不成功之后执行 root@uatjenkins01 ~]# git - ...
openssl 升级操作 -1
好多公司都会用绿盟扫描系统漏洞,里边就会涉及到ssl 漏洞,原因是openssl 版本低导致,会让你升级到指定版本.下面就介绍一下openssl 版本升级的操作方案. 一. 查看系统版本 [root@ ...
转：centos下升级git版本的操作记录
https://www.cnblogs.com/kevingrace/p/8252517.html 在使用git pull.git push.git clone的时候,或者在使用jenkins发版的时 ...

随机推荐

Memcached在Windows下的配置和使用
Memcached学习笔记---- 安装和配置首先,下载Memcached相关文件. 打开控制台,进入Memcached主程序目录,输入: memcached.exe -d install //安装 ...
java.sql.SQLException: [Microsoft][ODBC Microsoft Access Driver] 不能使用 '(未知的)'；文件已在使用中
最近查看程序输入的日志时发现一个java连接Access的程序时不时的抛出: java.sql.SQLException: [Microsoft][ODBC Microsoft Access Driv ...
WCF开发实战系列三：自运行WCF服务
WCF开发实战系列三:自运行WCF服务 (原创:灰灰虫的家 http://hi.baidu.com/grayworm)上一篇文章中我们建立了一个WCF服务站点,为WCF服务库运行提供WEB支持,我们把 ...
pymysql 在数据库中插入空值
1. 先搞清 ''(空字符串)和 NULL的区别 (1)本质区别: 空字符串是个值 NULL 和Python中的NULL一样,是空值的意思 (2)查询语句的区别: SELECT * FROM test ...
Java连接访问Oracle--Connection.setSavepoint()方法使用
使用时有一个重要前提:你不能使用oracle的classes12.jar,需要把oracle的jdbc驱动替换成ojdbc14.jar,否则savepoint()功能不能使用(出现“abstract方 ...
H5新特性之canvas
canvas无疑是H5之中最受欢迎的新特性了,它可以让浏览毫无费力的画出各种图案,动画. canvas的性能不会因为画布上的图案多少而改变,因此做动画用canvas性能也相当优秀. canvas最基本 ...
php7 安装mssql 扩展
一. Install the Microsoft PHP Drivers for SQL Server [root@w91 source]#curl https://packages.microsof ...
面向对象【day08】：类的特殊成员（一）
本节内容 1.__doc__2.__module__和__class__3.__init__4.__del__5 .__call__6 .__dict__7 .__str__8 .__getitem_ ...
docker基础篇
下载,安装安装Windows社区版官网地址:https://store.docker.com/editions/community/docker-ce-desktop-windows?tab=de ...
np.array和np.asarray区别

openssl版本升级操作记录【转】

openssl版本升级操作记录【转】的更多相关文章

随机推荐

热门专题