J'ai un système Ubuntu et j'ai installé OpenSSL. Maintenant, je veux apporter des modifications au fichier de configuration. J'ai cherché dans mes dossiers et trouvé les emplacements suivants pour les fichiers de configuration. Quel est le principal/correct que je devrais utiliser pour apporter des modifications? J'ai besoin d'ajouter un moteur ici. Toute aide serait appréciée. Voici les emplacements:
/usr/local/ssl/openssl.cnf
/usr/lib/ssl/openssl.cnf
/etc/ssl/openssl.cnf
/usr/local/ssl/openssl.cnf
Ceci est une installation locale. Vous avez téléchargé et construit OpenSSL en prenant le prefix
par défaut, configuré avec ./config --prefix=/usr/local/ssl
Ou ./config --openssldir=/usr/local/ssl
.
Vous utiliserez ceci si vous utilisez OpenSSL dans /usr/local/ssl/bin
. C'est-à-dire que /usr/local/ssl/openssl.cnf
Sera utilisé lorsque vous émettez:
/usr/local/ssl/bin/openssl s_client -connect localhost:443 -tls1 -servername localhost
/usr/lib/ssl/openssl.cnf
C'est ici que Ubuntu place openssl.cnf
Pour le OpenSSL fourni.
Vous utiliserez ceci si vous utilisez OpenSSL dans /usr/bin
. C'est-à-dire que /usr/lib/ssl/openssl.cnf
Sera utilisé lorsque vous émettez:
openssl s_client -connect localhost:443 -tls1 -servername localhost
/etc/ssl/openssl.cnf
Je ne sais pas quand cela est utilisé. Les éléments dans /etc/ssl
Sont généralement des certificats et des clés privées, et contiennent parfois une copie de openssl.cnf
. Mais je ne l'ai jamais vu utilisé pour quoi que ce soit.
Quel est le principal/correct que je devrais utiliser pour apporter des modifications?
Parmi les sons, vous devriez probablement ajouter le moteur à /usr/lib/ssl/openssl.cnf
. Cela garantit que la plupart des équipements "standards" utiliseront le nouveau moteur.
Après cela, ajoutez-le à /usr/local/ssl/openssl.cnf
Également parce que copier/coller est facile.
Voici comment savoir quel répertoire openssl.cnf
Est associé à une installation OpenSSL. La bibliothèque et les programmes recherchent openssl.cnf
Dans OPENSSLDIR
. OPENSSLDIR
est une option de configuration et est définie avec --openssldir
.
Je suis sur un MacBook avec 3 OpenSSL différents (Apple, MacPort et celui que je construis):
# Apple
$ /usr/bin/openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/System/Library/OpenSSL"
# MacPorts
$ /opt/local/bin/openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/opt/local/etc/openssl"
# My build of OpenSSL
$ openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/usr/local/ssl/darwin"
J'ai un système Ubuntu et j'ai installé openssl.
Faites du vélo, mais faites attention à la version d'OpenSSL d'Ubuntu. Il désactive TLSv1.1 et TLSv1.2, de sorte que vous ne disposez que de clients capables de suites de chiffrement plus anciennes; et vous ne pourrez pas utiliser de chiffrements plus récents tels que AES/CTR (pour remplacer RC4) et un engrenage à courbe elliptique (comme ECDHE_ECDSA_*
et ECDHE_RSA_*
). Voir buntu 12.04 LTS: la version de niveau inférieur d'OpenSSL est 1.0.0 et ne prend pas en charge TLS 1.2 dans Launchpad.
[~ # ~] éditer [~ # ~] : Ubuntu a activé TLS 1.1 et TLS 1.2 récemment. Voir commentaire 17 sur le rapport de bogue.
RHEL: /etc/pki/tls/openssl.cnf
/usr/local/ssl/openssl.cnf
est un lien symbolique de
/etc/ssl/openssl.cnf
Vous pouvez voir cela en utilisant une longue liste (ls -l) dans le répertoire/usr/local/ssl/où vous trouverez
lrwxrwxrwx 1 racine racine 20 mars 1 05:15 openssl.cnf -> /etc/ssl/openssl.cnf