CentoOS 7 升级 Openssl

栏目: 服务器 · 发布时间: 5年前

内容简介:OpenSSL 1.1.1 已发布,这是新的长期支持版本(LTS),开发团队承诺至少提供五年支持。自 1.1.0 发布以来,已有超过 200 位个人贡献者提交了近 5000 个 commits。OpenSSL 1.1.1 最重要的变化就是添加对 TLS v1.3 (RFC8446) 的支持。TLS v1.3 的优势包括:

OpenSSL 1.1.1 已发布,这是新的长期支持版本(LTS),开发团队承诺至少提供五年支持。

自 1.1.0 发布以来,已有超过 200 位个人贡献者提交了近 5000 个 commits。OpenSSL 1.1.1 最重要的变化就是添加对 TLS v1.3 (RFC8446) 的支持。

TLS v1.3 的优势包括:

  • 由于减少了客户端和服务器之间所需的往返次数,缩短了连接时间。

  • 在某些情况下,客户端能够立即开始将加密数据发送到服务器而无需与服务器进行任何往返(称为 0-RTT 或“early data”)。

  • 由于删除了各种过时和不安全的加密算法及握手加密,提高了安全性。

OpenSSL 1.1.1 其他亮点包括:

完全重写 OpenSSL 随机数生成器以引入以下功能:

  • The default RAND method now utilizes an AES-CTR DRBG according to NIST standard SP 800-90Ar1.

  • Support for multiple DRBG instances with seed chaining.

  • There is a public and private DRBG instance.

  • The DRBG instances are fork-safe.

  • Keep all global DRBG instances on the secure heap if it is enabled.

  • The public and private DRBG instance are per thread for lock free operation

支持各种新的加密算法,包括:

  • SHA3

  • SHA512/224 and SHA512/256

  • EdDSA (including Ed25519 and Ed448)

  • X448 (adding to the existing X25519 support in 1.1.0)

  • Multi-prime RSA

  • SM2

  • SM3

  • SM4

  • SipHash

  • ARIA (including TLS support)

  • 旁路攻击安全性改进

  • Maximum Fragment Length TLS 扩展支持

  • 新增 STORE 模块,它实现了一个规格一致的基于 URI 的存储读取器,可包含密钥、证书、CRL 和许多其他对象。

操作步骤

下载 openssl 最新的长期支持版本 1.1.1.1

wget -c https://www.openssl.org/source/openssl-1.1.1.tar.gz

解压后进入目录执行

./config -fPIC --prefix=/usr/local/openssl enable-shared
./config -t
make && make install

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl


然后执行

echo “/usr/local/ssl/lib” >> /etc/ld.so.conf

ldconfig -v

查看版本

[root@iz28wru16cpz ~]# openssl version
OpenSSL 1.1.1  11 Sep 2018

nginx 升级

pushd openssl-1.1.1
wget https://raw.githubusercontent.com/hakasenyang/openssl-patch/master/openssl-equal-1.1.1.patch
patch -p1 < openssl-equal-1.1.1.patch
popd

pushd nginx-1.15.3
wget https://raw.githubusercontent.com/kn007/patch/d6afe6aa688d6ee0691bea8303e5c8e93a3239b5/nginx.patch
wget https://raw.githubusercontent.com/kn007/patch/c59592bc1269ba666b3bb471243c5212b50fd608/nginx_auto_using_PRIORITIZE_CHACHA.patch 
patch -p1 < nginx.patch
patch -p1 < nginx_auto_using_PRIORITIZE_CHACHA.patch
popd


./configure --prefix=/usr/local/nginx --user=www --group=www --with-pcre=/opt/nginx/pcre-8.41 --with-http_v2_module --with-http_ssl_module --with-zlib=/opt/nginx/zlib-1.2.11 --with-openssl=/root/openssl-1.1.1  --add-module=/opt/nginx/ngx_brotli --with-http_v2_hpack_enc

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

高性能JavaScript

高性能JavaScript

【美】Nicholas C. Zakas(尼古拉斯.泽卡斯) / 丁琛 / 电子工业出版社 / 2015-8-1 / 65

如果你使用 JavaScript 构建交互丰富的 Web 应用,那么 JavaScript 代码可能是造成你的Web应用速度变慢的主要原因。《高性能JavaScript》揭示的技术和策略能帮助你在开发过程中消除性能瓶颈。你将会了解如何提升各方面的性能,包括代码的加载、运行、DOM 交互、页面生存周期等。雅虎的前端工程师 Nicholas C. Zakas 和其他五位 JavaScript 专家介绍......一起来看看 《高性能JavaScript》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

SHA 加密
SHA 加密

SHA 加密工具