OpenSSL 系列1 --- 安装

一、简介

1. 注意

目前，绝大多数Linux发行版都自带OpenSSL，但是版本较老，比如CentOS 7.9.2009自带的OpenSSL是1.0.2k。请务必注意，OpenSSL只能升级，不能先卸载老版本然后再安装，作为SSH的重要依赖，如果卸载掉老版本的OpenSSL将会导致无法建立新的SSH链接，无法使用包括sudo在内的众多命令。

2. License

从OpenSSL 3.0开始，Open SSL的许可证从dual OpenSSL and SSLeay licenses变为Apache License 2.0。

二、安装环境

1. 环境

OS: CentOS 7.9.2009 (Core)

2. 依赖

(1) gcc

gcc --version

sudo yum install -y gcc

(2) Perl

perl -v

sudo yum install perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker

3. 安装目录

mkdir /usr/local/ssl

三、安装

根据官网https://www.openssl.org/source/的描述，目前最新的版本是3.0系列，这个系列是一个LTS版本并且会被支持到2026年9月份。上一个LTS是1.1.1系列，它会被支持到2023年9月。更老的版本均已经不再维护，应该被弃用。

1. 查询现有版本并备份

(1) 查询现有版本:

rpm -qa|grep openssl

(2) 备份

mv /usr/bin/openssl /usr/bin/openssl.bak

2. 获取安装包

wget https://www.openssl.org/source/openssl-3.0.7.tar.gz

3. 解压

tar -zxvf openssl-3.0.7.tar.gz

4. 安装

cd openssl-3.0.7
./Configure --prefix=/usr/local/ssl --openssldir=/usr/local/ssl
make
sudo make install

5. 创建链接库

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
ln -s /usr/local/ssl/lib64/libssl.so.3 /usr/lib64/libssl.so.3
ln -s /usr/local/ssl/lib64/libcrypto.so.3 /usr/lib64/libcrypto.so.3

6. 校验版本

openssl version

7. 清理工作

(1) 清理运行make产生的文件：

make clean

(2) 清理运行./configure产生的文件：

make distclean

四、配置

1: 打开配置文件

(1) 指定配置目录

sudo vi /usr/local/ssl/openssl.cnf

(2) Rocky Linux 9.3

sudo vi /etc/pki/tls/openssl.cnf

2. 配置CA路径:

找到：

dir = ./demoCA              # Where everything is kept

改为

dir = /etc/pki/CA              # Where everything is kept

3. 配置CA证书信息

找到：

# For the CA policy

将其下面涉及到的字段改为合适的值：

4. 配置其他证书信息