Bagaimana cara meningkatkan OpenSSL 1.1.0 ke 1.1.1 di Ubuntu 18.04?

17

Saya telah menjalankan server produksi dengan Ubuntu 18 diinstal. Baru-baru ini, saya menemukan bahwa aplikasi web saya tidak diizinkan pada beberapa firewall yang dipasang di lokasi pelanggan.

Saya menemukan bahwa server saya berkomunikasi pada TLSv1.0, TLSv1.1, TLSv1.2protokol, saya berasumsi bahwa pengaturan firewall memungkinkan komunikasi dengan server TLSv1.3hanya pada protokol.

Karena Ubuntu 18 dikirimkan OpenSSL version 1.1.0, dan untuk membuat dukungan server TLS v1.3saya harus memutakhirkan OpenSSL version 1.1.1yang merupakan yang terbaru.

Karena ini adalah server yang menjalankan server produksi nginx, saya tidak ingin langsung mencoba apa pun di server.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Apa cara terbaik untuk meningkatkan OpenSSL ke v1.1.1 tanpa mengganggu pengaturan server lainnya?

dolar
sumber
2
FYI: »OpenSSL 1.1.1 SRU ke dalam Bionic« lists.ubuntu.com/archives/ubuntu-devel/2018-December/… . Sementara itu, bicarakan dengan masing-masing kontak yang bertanggung jawab atas konfigurasi firewall, minta persyaratan / rekomendasi / Pengabaian. Saya ragu bahwa Anda adalah satu-satunya yang menjalankan 18,04 dan memiliki masalah ini juga saya tidak berpikir bahwa tidak mendukung TLS 1.3 pada saat ini adalah masalah karena masih cukup baru dan bertentangan dengan pernyataan Anda, saya membaca bahwa masih menyebabkan masalah dengan beberapa middlebox, tetapi Anda tidak akan tahu jika Anda tidak bertanya.
LiveWireBT
2
Upgrade tidak akan mungkin sampai SRU melewati. Ada terlalu banyak hal yang bergantung pada OpenSSL untuk melakukan peningkatan sendiri, karena itu dapat merusak segalanya.
Thomas Ward
1
akhirnya bugs.launchpad.net/ubuntu/+source/openssl/+bug/1797386 sekarang sedang dalam proses
Tino

Jawaban:

34

CATATAN : Pada ~ Agustus 2019, openSSL 1.1.1 harus tersedia untuk instalasi melalui peningkatan / instalasi paket normal untuk 18,04. Atau, Anda dapat mengunduh paket .deb langsung dari sini .


Menurut situs web OpenSSL :

Versi stabil terbaru adalah seri 1.1.1. Ini juga versi Dukungan Jangka Panjang (LTS) kami, didukung hingga 11 September 2023.

Karena ini tidak ada dalam repositori Ubuntu saat ini, Anda perlu mengunduh, mengkompilasi, dan menginstal versi OpenSSL terbaru secara manual.

Di bawah ini adalah petunjuk untuk diikuti:

  1. Buka terminal ( Ctrl+ Alt+ t).
  2. Ambil tarball: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Buka paket tarball dengan tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Keluarkan perintah ./config.
  5. Keluarkan perintah make(Anda mungkin harus menjalankan sudo apt install make gccsebelum menjalankan perintah ini berhasil).
  6. Jalankan make testuntuk memeriksa kemungkinan kesalahan.
  7. Backup saat ini openssl binary: sudo mv /usr/bin/openssl ~/tmp
  8. Keluarkan perintah sudo make install.
  9. Buat tautan simbolis dari biner yang baru dipasang ke lokasi default:
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
    
  10. Jalankan perintah sudo ldconfiguntuk memperbarui symlink dan membangun kembali cache perpustakaan.

Dengan asumsi bahwa tidak ada kesalahan dalam menjalankan langkah 4 hingga 10, Anda seharusnya telah berhasil menginstal versi baru OpenSSL.

Sekali lagi, dari terminal mengeluarkan perintah:

openssl version

Output Anda harus sebagai berikut:

OpenSSL 1.1.1a  20 Nov 2018
Kevin Bowen
sumber
1
Mengenai "Pada ~ Juni 2019, openSSL 1.1.1 harus tersedia untuk instalasi melalui peningkatan / instalasi paket normal": Hanya saja tidak perlu dicatat bahwa ini tidak terjadi pada Ubuntu 18.04 (setidaknya pada dua mesin yang saya coba) ) ...
logidelic
@logidelic Menarik. Terima kasih telah menunjukkannya. Saya akan mencatat itu. Sistem utama saya adalah 19,04 dan saya memiliki beberapa derivatif (Mint) berdasarkan bionik (18,04) yang telah menerima backports. Rupanya, launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1 ~ 18.04.4 itu mungkin masih hanya 'diusulkan' ', atau tersedia sebagai sumber di 18.04. Saya tidak begitu yakin dengan statusnya.
Kevin Bowen
Bekerja di Debian Jessie juga. Digunakan 1.1.1c karena ini adalah versi yang sama di Buster.
Rudolf Vavruch