web-dev-qa-db-fra.com

Emplacement correct du fichier openssl.cnf

J'ai un système Ubuntu et j'ai installé OpenSSL. Maintenant, je veux apporter des modifications au fichier de configuration. J'ai cherché dans mes dossiers et trouvé les emplacements suivants pour les fichiers de configuration. Quel est le principal/correct que je devrais utiliser pour apporter des modifications? J'ai besoin d'ajouter un moteur ici. Toute aide serait appréciée. Voici les emplacements:

/usr/local/ssl/openssl.cnf
/usr/lib/ssl/openssl.cnf
/etc/ssl/openssl.cnf
27
user907810

/usr/local/ssl/openssl.cnf

Ceci est une installation locale. Vous avez téléchargé et construit OpenSSL en prenant le prefix par défaut, configuré avec ./config --prefix=/usr/local/ssl Ou ./config --openssldir=/usr/local/ssl.

Vous utiliserez ceci si vous utilisez OpenSSL dans /usr/local/ssl/bin. C'est-à-dire que /usr/local/ssl/openssl.cnf Sera utilisé lorsque vous émettez:

/usr/local/ssl/bin/openssl s_client -connect localhost:443 -tls1 -servername localhost

/usr/lib/ssl/openssl.cnf

C'est ici que Ubuntu place openssl.cnf Pour le OpenSSL fourni.

Vous utiliserez ceci si vous utilisez OpenSSL dans /usr/bin. C'est-à-dire que /usr/lib/ssl/openssl.cnf Sera utilisé lorsque vous émettez:

openssl s_client -connect localhost:443 -tls1 -servername localhost

/etc/ssl/openssl.cnf

Je ne sais pas quand cela est utilisé. Les éléments dans /etc/ssl Sont généralement des certificats et des clés privées, et contiennent parfois une copie de openssl.cnf. Mais je ne l'ai jamais vu utilisé pour quoi que ce soit.


Quel est le principal/correct que je devrais utiliser pour apporter des modifications?

Parmi les sons, vous devriez probablement ajouter le moteur à /usr/lib/ssl/openssl.cnf. Cela garantit que la plupart des équipements "standards" utiliseront le nouveau moteur.

Après cela, ajoutez-le à /usr/local/ssl/openssl.cnf Également parce que copier/coller est facile.


Voici comment savoir quel répertoire openssl.cnf Est associé à une installation OpenSSL. La bibliothèque et les programmes recherchent openssl.cnf Dans OPENSSLDIR. OPENSSLDIR est une option de configuration et est définie avec --openssldir.

Je suis sur un MacBook avec 3 OpenSSL différents (Apple, MacPort et celui que je construis):

# Apple    
$ /usr/bin/openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/System/Library/OpenSSL"

# MacPorts
$ /opt/local/bin/openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/opt/local/etc/openssl"

# My build of OpenSSL
$ openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/usr/local/ssl/darwin"

J'ai un système Ubuntu et j'ai installé openssl.

Faites du vélo, mais faites attention à la version d'OpenSSL d'Ubuntu. Il désactive TLSv1.1 et TLSv1.2, de sorte que vous ne disposez que de clients capables de suites de chiffrement plus anciennes; et vous ne pourrez pas utiliser de chiffrements plus récents tels que AES/CTR (pour remplacer RC4) et un engrenage à courbe elliptique (comme ECDHE_ECDSA_* et ECDHE_RSA_*). Voir buntu 12.04 LTS: la version de niveau inférieur d'OpenSSL est 1.0.0 et ne prend pas en charge TLS 1.2 dans Launchpad.

[~ # ~] éditer [~ # ~] : Ubuntu a activé TLS 1.1 et TLS 1.2 récemment. Voir commentaire 17 sur le rapport de bogue.

30
jww

RHEL: /etc/pki/tls/openssl.cnf

20
user2451964

/usr/local/ssl/openssl.cnf

est un lien symbolique de

/etc/ssl/openssl.cnf

Vous pouvez voir cela en utilisant une longue liste (ls -l) dans le répertoire/usr/local/ssl/où vous trouverez

lrwxrwxrwx 1 racine racine 20 mars 1 05:15 openssl.cnf -> /etc/ssl/openssl.cnf

6
Ermi