如何在 Ubuntu 上安装和构建 OpenSSL 1.0.0?
Posted
技术标签:
【中文标题】如何在 Ubuntu 上安装和构建 OpenSSL 1.0.0?【英文标题】:How do I install and build against OpenSSL 1.0.0 on Ubuntu? 【发布时间】:2011-03-10 08:21:29 【问题描述】:您可以将此视为How do I install the OpenSSL C++ library on Ubuntu? 的后续问题
我正在尝试在需要 OpenSSL 1.0.0 的 Ubuntu 10.04 LTS 上构建一些代码。
Ubuntu 10.04 LTS 附带 OpenSSL 0.9.8k:
$ openssl version
OpenSSL 0.9.8k 25 Mar 2009
所以在运行sudo apt-get install libssl-dev
并构建之后,运行 ldd 确认我已在 0.9.8 中链接:
$ ldd foo
...
libssl.so.0.9.8 => /lib/i686/cmov/libssl.so.0.9.8 (0x00110000)
...
libcrypto.so.0.9.8 => /lib/i686/cmov/libcrypto.so.0.9.8 (0x002b0000)
...
如何安装 OpenSSL 1.0.0 和 1.0.0 开发包?
更新:我在阅读SB 的回答(但在尝试之前)之后写了这个更新,因为很明显我需要解释下载和安装 OpenSSL 1.0 的明显解决方案.0 不起作用:
成功执行以下操作后(建议在安装文件中):
$ ./config
$ make
$ make test
$ make install
...我还是明白了:
OpenSSL 0.9.8k 25 Mar 2009
...和:
$ sudo apt-get install libssl-dev
Reading package lists... Done
Building dependency tree
Reading state information... Done
libssl-dev is already the newest version.
The following packages were automatically installed and are no longer required:
linux-headers-2.6.32-21 linux-headers-2.6.32-21-generic
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
...并且(只是为了确保)在重建我的代码后,ldd 仍然返回相同的内容。
更新 #2:我添加了“-I/usr/local/ssl/include”和“-L/usr/local/ssl/lib”选项(由SB 建议)到我的makefile,但我现在收到一堆未定义的参考编译错误,例如:
/home/dspitzer/foo/foo.cpp:86: undefined reference to `BIO_f_base64'
/home/dspitzer/foo/foo.cpp:86: undefined reference to `BIO_new'
/usr/local/ssl/include/ 仅包含一个 openssl 目录(其中包含许多 .h 文件),因此我也尝试了“-I/usr/local/ssl/include/openssl”但得到了相同的错误。
更新 #3:我尝试更改 OpenSSL 包含的内容(例如):
#include <openssl/bio.h>
...到:
#include "openssl/bio.h"
...在 .cpp 源文件中,但仍然得到相同的未定义引用错误。
更新 #4:我现在意识到那些未定义的引用错误是链接器错误。如果我从我的 Makefile 中删除“-L/usr/local/ssl/lib”,我不会收到错误(但它链接到 OpenSSL 0.9.8)。 /usr/local/ssl/lib/的内容是:
$ ls /usr/local/ssl/lib/
engines libcrypto.a libssl.a pkgconfig
我添加了-lcrypto,错误消失了。
【问题讨论】:
++ 更新 #4。谢谢。 【参考方案1】:从here 获取 1.0.0a 源代码。
# tar -xf openssl-1.0.0a.tar.gz
# cd openssl-1.0.0a
# ./config
# sudo make install
默认情况下将它放在 /usr/local/ssl 中
构建时,您需要告诉 gcc 在 /usr/local/ssl/include 中查找头文件并与 /usr/local/ssl/lib 中的库链接。您可以通过执行以下操作来指定:
gcc test.c -o test -I/usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto
编辑不要覆盖任何系统库。最好将新库保存在 /usr/local 中。覆盖 Ubuntu 默认设置可能会危害您的健康并破坏您的系统。
此外,我刚刚在 Ubuntu 10.04 VM 中尝试过的路径是错误的。固定。
注意,无需更改 LD_LIBRARY_PATH,因为默认情况下链接的 openssl 库是静态库(至少默认情况下 - 可能有一种方法可以在 ./config 步骤中将它们配置为动态库)
您可能需要链接 libcrypto,因为您正在使用一些在 libcrypto 包中构建和定义的调用。 Openssl 1.0.0 实际上构建了两个库,libcrypto 和 libssl。
EDIT 2 将-lcrypto
添加到 gcc 行。
【讨论】:
查看上面的更新(我的问题)。你能解释一下为什么我需要添加“-lcrypto”吗? 我猜 OpenSSL 0.9.8 只有一个库 libssl? 回复:“注意,没有必要更改 LD_LIBRARY_PATH,因为默认情况下链接的 openssl 库是静态库……”——这解释了为什么我看不到 libssl.so 和 libcrypto.so当我在我的可执行文件上运行 ldd 时 libcrypto 包含所有加密原语和证书功能。 libssl 实现了 ssl/tls/dtls 协议。 libssl 调用 libcrypto。如果您使用 libssl 中的某些内容,则还需要 libcrypto,但如果您只使用 libcrypto,则不需要 libssl。 在尝试显示 openssl 1.0.0 而不是 0.9.8 时,我刚刚得到“$ gcc: test.c: No such file or directory”。有什么想法吗?【参考方案2】:代替:
$ ./config
$ make
$ make test
$ make install
做:
$ sudo ./config --prefix=/usr
$ sudo make
$ sudo make test
$ sudo make install
这将帮助您更新到 openssl 1.0.1g 以修补 CVE-2014-0160 (Heartbleed)。
OpenSSL 安全公告 [2014 年 4 月 7 日]
TLS 心跳读取溢出 (CVE-2014-0160)
在处理 TLS 心跳扩展时缺少边界检查可能是 用于向连接的客户端或服务器显示多达 64k 的内存。
只有 OpenSSL 的 1.0.1 和 1.0.2-beta 版本受到影响,包括 1.0.1f 和 1.0.2-beta1。
感谢 Google 安全部门的 Neel Mehta 发现此错误并 Adam Langley 和 Bodo Moeller 准备修复。
受影响的用户应升级到 OpenSSL 1.0.1g。用户无法立即 升级也可以使用 -DOPENSSL_NO_HEARTBEATS 重新编译 OpenSSL。
1.0.2 将在 1.0.2-beta2 中修复。
来源:https://www.openssl.org/news/secadv_20140407.txt
【讨论】:
在安装编译版本之前,请确保使用 apt-get purge 清除默认库。 请注意,您不需要手动构建和安装 OpenSSL。该补丁被反向移植到 Ubuntu 中使用的软件包(请参阅advisory)。构建与您的发行版中的版本不同的版本,使用可能不同的选项,实际上可能会导致更多问题(并且不受 Ubuntu 支持)。【参考方案3】:这是为我解决的问题: Upgrade latest version OpenSSL on Ubuntu
转录主要信息:
下载 OpenSSL v1.0.0g 源码:
$ wget http://www.openssl.org/source/openssl-1.0.0g.tar.gz
解压存档并安装:
$ tar xzvf openssl-1.0.0g.tar.gz
$ cd openssl-1.0.0g
$ ./config
$ make
$ make test
$ sudo make install
所有文件,包括二进制文件和手册页都安装在目录/usr/local/ssl
下。为确保用户使用此版本的 OpenSSL 而不是以前的版本,您必须更新手册页和二进制文件的路径。
编辑文件/etc/manpath.config
,在第一个MANPATH_MAP
之前添加以下行:
MANPATH_MAP /usr/local/ssl/bin /usr/local/ssl/man
更新 man 数据库(老实说,我不记得也不确定是否需要此命令 - 可以尝试不使用它,最后在测试手册页是否仍然是旧版本时返回并运行mandb
):
sudo mandb
编辑文件 /etc/environment
并在 Ubuntu 版本的 OpenSSL (/usr/bin
) 的路径之前插入 OpenSSL 二进制文件的路径 (/usr/local/ssl/bin
)。我的环境文件如下所示:
PATH="/usr/local/sbin:/usr/local/bin:/usr/local/ssl/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games"
注销并登录并测试:
$ openssl version
OpenSSL 1.0.0g 18 Jan 2012
还可以通过运行man openssl
来测试手册页,并在左下角的最底部报告1.0.0g
。
请注意,尽管用户现在将自动使用新版本的 OpenSSL,但现有程序(例如 Apache)可能不会,因为它们与 Ubuntu 版本的库链接。
【讨论】:
以上是关于如何在 Ubuntu 上安装和构建 OpenSSL 1.0.0?的主要内容,如果未能解决你的问题,请参考以下文章
markdown 使用Homebrew安装的pg和openssl在Mac上构建pgmodeler