Ubuntu 18.04でOpenSSL 1.1.0を1.1.1にアップグレードする方法は?


17

Ubuntu 18がインストールされた実稼働サーバーを実行しています。最近、顧客の場所にインストールされているファイアウォールの一部で私のWebアプリケーションが許可されていないことがわかりました。

サーバーがTLSv1.0, TLSv1.1, TLSv1.2プロトコルで通信していることがわかりました。ファイアウォール設定により、TLSv1.3プロトコルのみでサーバーとの通信が許可されていると思います。

Ubuntu 18にはが同梱されておりOpenSSL version 1.1.0、サーバーをサポートするTLS v1.3には、OpenSSLをversion 1.1.1最新のものにアップグレードする必要があります。

これはサーバーを実行する運用nginxサーバーであるため、サーバー上で直接何かを試したくありません。

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

サーバーの他の設定を邪魔せずにOpenSSLをv1.1.1にアップグレードする最良の方法は何ですか?


2
参考:»OpenSSL 1.1.1 SRUからBionicへ« lists.ubuntu.com/archives/ubuntu-devel/2018-December/…その間、ファイアウォールの構成を担当する各担当者に相談し、要件/推奨事項を尋ねてください。 / waivers。あなたが18.04を実行してこの問題を抱えているのはあなただけではないことを疑います。また、この時点でTLS 1.3をサポートしていないことはまだ新しく、あなたの声明に反して、いくつかの問題を引き起こすと思いますミドルボックス、しかし、あなたが尋ねないかどうかはわかりません。
LiveWireBT

2
そのSRUが完了するまでアップグレードはできません。すべてを壊す可能性があるため、OpenSSLに依存して自分でアップグレードを行うにはあまりにも多くのものがあります。
トーマスウォード

回答:


34

:2019年8月までに、openSSL 1.1.1は18.04の通常のパッケージアップグレード/インストールを介してインストールできるようになります。または、ここから直接.debパッケージをダウンロードできます。


OpenSSL Webサイトによると:

最新の安定バージョンは1.1.1シリーズです。これは、2023年9月11日までサポートされる長期サポート(LTS)バージョンでもあります。

これは現在のUbuntuリポジトリにはないため、最新のOpenSSLバージョンを手動でダウンロード、コンパイル、インストールする必要があります。

従うべき手順は次のとおりです。

  1. ターミナルを開きます(Ctrl+ Alt+ t)。
  2. tarballを取得します。 wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. でtarballを解凍します tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. コマンドを発行し./configます。
  5. コマンドを発行しmakeます(sudo apt install make gccこのコマンドを正常に実行する前に実行する必要がある場合があります)。
  6. 実行make testして、考えられるエラーを確認します。
  7. 現在のopensslバイナリをバックアップします: sudo mv /usr/bin/openssl ~/tmp
  8. コマンドを発行しsudo make installます。
  9. 新しくインストールしたバイナリからデフォルトの場所へのシンボリックリンクを作成します。
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
    
  10. コマンドsudo ldconfigを実行してシンボリックリンクを更新し、ライブラリキャッシュを再構築します。

手順4〜10の実行中にエラーがなかったと仮定すると、OpenSSLの新しいバージョンを正常にインストールするはずです。

繰り返しますが、ターミナルから次のコマンドを発行します。

openssl version

出力は次のようになります。

OpenSSL 1.1.1a  20 Nov 2018

1
「2019年6月までに、openSSL 1.1.1は通常のパッケージアップグレード/インストールを介してインストールできるはずです」:Ubuntu 18.04(少なくとも私が試した2台のマシンではそうではないことに注意してください) )...
Logidelic

@logidelic興味深い。それを指摘してくれてありがとう。そのことを書き留めておきます。私のメインシステムは19.04であり、バックポートを既に受信しているbionic(18.04)に基づく派生物(Mint)がいくつかあります。どうやら、launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4それはまだだけ「「提案」、または18.04でソースとして利用することができます。状況はよくわかりません。
ケビンボーエン

Debian Jessieでも働いていました。これはBusterの同じバージョンであるため、1.1.1cを使用しました。
ルドルフヴァヴルフ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.