Wie aktualisiere ich OpenSSL 1.1.0 auf 1.1.1 in Ubuntu 18.04?

17

Ich habe einen Produktionsserver mit Ubuntu 18 installiert. Vor kurzem stellte ich fest, dass meine Webanwendung auf einigen der beim Kunden installierten Firewalls nicht zulässig war.

Ich habe festgestellt, dass mein Server mit TLSv1.0, TLSv1.1, TLSv1.2Protokollen kommuniziert . Ich gehe davon aus, dass die Firewall-Einstellung nur die Kommunikation mit dem Server über das TLSv1.3Protokoll zulässt.

Da Ubuntu 18 mit ausgeliefert wird OpenSSL version 1.1.0, muss TLS v1.3ich OpenSSL auf version 1.1.1das neueste upgraden, um die Serverunterstützung zu gewährleisten .

Da dies ein Produktionsserver ist, auf dem Server ausgeführt nginxwird, möchte ich nichts direkt auf dem Server ausprobieren.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Was ist der beste Weg, um OpenSSL auf v1.1.1 zu aktualisieren, ohne andere Einstellungen des Servers zu stören?

Dollar
quelle
2
Zu Ihrer Information : »OpenSSL 1.1.1 SRU in Bionic« lists.ubuntu.com/archives/ubuntu-devel/2018-December/… Sprechen Sie in der Zwischenzeit mit dem jeweiligen Ansprechpartner, der für die Firewall-Konfiguration zuständig ist, nach Anforderungen / Empfehlungen / verzichtet. Ich bezweifle, dass Sie der einzige sind, der den 18.04 hat und dieses Problem hat, und ich denke, dass es das Problem ist, TLS 1.3 zum jetzigen Zeitpunkt nicht zu unterstützen, da es noch ziemlich neu ist Middleboxes, aber Sie werden es nicht herausfinden, wenn Sie nicht fragen.
LiveWireBT
2
Ein Upgrade ist erst möglich, wenn diese SRU abgeschlossen ist. Es gibt einfach zu viele Dinge, die von OpenSSL abhängen, um das Upgrade selbst durchzuführen, da es alles kaputt machen könnte.
Thomas Ward

Antworten:

34

HINWEIS : Ab ~ August 2019 sollte openSSL 1.1.1 für die Installation über normale Paket-Upgrades / -Installationen für den 18.04 verfügbar sein. Oder Sie können das .deb-Paket direkt von hier herunterladen .


Laut der OpenSSL-Website :

Die neueste stabile Version ist die 1.1.1-Serie. Dies ist auch unsere LTS-Version (Long Term Support), die bis zum 11. September 2023 unterstützt wird.

Da dies nicht in den aktuellen Ubuntu-Repositories enthalten ist, müssen Sie die neueste OpenSSL-Version manuell herunterladen, kompilieren und installieren.

Nachfolgend finden Sie die Anweisungen:

  1. Öffne ein Terminal ( Ctrl+ Alt+ t).
  2. Holen Sie sich den Tarball: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Packen Sie den Tarball mit aus tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Geben Sie den Befehl aus ./config.
  5. Setzen Sie den Befehl ab make(Sie müssen ihn möglicherweise ausführen, sudo apt install make gccbevor Sie ihn erfolgreich ausführen können ).
  6. Führen Sie make testden Befehl aus, um nach möglichen Fehlern zu suchen.
  7. Sicherungsstrom openssl binär: sudo mv /usr/bin/openssl ~/tmp
  8. Geben Sie den Befehl aus sudo make install.
  9. Erstellen Sie eine symbolische Verknüpfung von der neu installierten Binärdatei zum Standardspeicherort:
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
    
  10. Führen Sie den Befehl aus sudo ldconfig, um Symlinks zu aktualisieren und den Bibliothekscache neu zu erstellen.

Vorausgesetzt, dass bei der Ausführung der Schritte 4 bis 10 keine Fehler aufgetreten sind, sollten Sie die neue Version von OpenSSL erfolgreich installiert haben.

Wiederum geben Sie vom Terminal aus den folgenden Befehl ein:

openssl version

Ihre Ausgabe sollte wie folgt aussehen:

OpenSSL 1.1.1a  20 Nov 2018
Kevin Bowen
quelle
1
Zu "Ab ~ Juni 2019 sollte openSSL 1.1.1 für die Installation über normale Paket-Upgrades / -Installationen verfügbar sein": Beachten Sie nur nicht, dass dies auf Ubuntu 18.04 nicht der Fall zu sein scheint (zumindest auf den beiden Maschinen, auf denen ich es ausprobiert habe) ) ...
logidelic
@logidelic Interessant. Vielen Dank für den Hinweis. Ich werde das notieren. Meine Hauptsysteme sind 19.04 und ich habe ein paar Derivate (Mint) auf Basis von Bionic (18.04), die bereits Backports erhalten haben. Offenbar ist launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4 möglicherweise nur noch "vorgeschlagen" oder als Quelle in 18.04 verfügbar. Ich bin mir des Status nicht wirklich sicher.
Kevin Bowen
Arbeitete auch an Debian Jessie. Verwendet 1.1.1c, da dies dieselbe Version in Buster ist.
Rudolf Vavruch