OpenSSLをアップグレードするにはどうすればよいですか?
これらの指示によると:
http://wiki.Apache.org/httpd/NameBasedSSLVHostsWithSNI
Apacheで名前ベースの仮想ホストを使用するには、OpenSSL 0.9.8k以降(現時点では1.0.0c)を使用する必要があります。現在、私はバージョン0.9.8eを持っています。
Linux 2.6ビルドの64ビットバージョンでCentOSを実行しています。
このようなアップグレードは簡単だと思いましたが、rpmがインストールできるパッケージではないようです。どこから始めればいいですか?
OpenSSL 1.0.0cの代替インストールを作成し、システムライブラリを置き換えたくない場合。 0.9.8kライブラリを置き換えると、CentOSシステムの大部分が壊れる危険があります。コンパイルして/ usr/local/opensslまたは同様のものにインストールするのが最善です。
あなたが本当にあなたが何をしているかを知っていて、他に方法がない限り、ソースからソフトウェアをインストールしないでください。本格的な使用のための企業向けディストリビューションではありません。そしてOpenSSLのようなそれほど重要ではないもの。
Red Hat Enterprise Linux(およびCentOS、Scientific Linux、Oracle Linuxなどのその派生物)では、ソフトウェアのバージョンが古く見えることが多いことに注意してください。これらは、RHEL X.0をカットしたときにRed Hatが選択したバージョンであり、10年以内に新しいバージョンにのみアップグレードするため、他にバグを修正する方法がない場合はRHEL Xがサポートされます。 Red Hatの人々は、出荷されたものの修正とパッチのバグをバックポートします。コードはおそらく内部では元のバージョンよりも最新バージョンのように見えますが、非常に重要な外部インターフェースは厳密に保持されています。パッケージバージョンがCVEで常にチャンピオンである場合でも、インストールしたものはこれらの問題に対して脆弱ではないのでご安心ください。
いくつかのApache機能が必要ですが、ご使用のインストールで使用できないことを確認しましたか? [〜#〜] epel [〜#〜] を見ましたか?多分それは次のバージョンで利用可能です(RHELとCentOSは現在サポートされているいくつかのバージョンを同時に持っています、最新を確認してください)?
セキュリティに関心がある場合は、1.0.1にアップグレードしないでください。 0.9.8に固執する1.0.1には、SSLキーを決定できるバグがあります。
このWebサイトは、centosでopensslを更新する方法を示しています。 http://www.pcwired.com/2013/09/how-to-set-ssl-for-pci-plied-Apache
いくつかの理由により、RHEL 5/CentOS 5を実行している人はたくさんいます。ただし、RHEL 5はサポート対象外であり、さらに、RHEL 5用のOpenSSL> = 1のパッケージはありませんでした。
外国のリポジトリの使用について心配がない場合は、「tuxadリポジトリ」を使用できます。別のより簡単な方法を提供しますRHEL 5のOpenSSLをRHEL 6の1つに更新する(これはまだサポートされています):
- RHEL 5のtuxadリポジトリをインストールします:rpm -i http://www.tuxad.de/repo/5/tuxad.rpm
- パッケージの更新:yum update
詳細はここにあります:
www.tuxad.de/blog/archives/2014/11/19/openssl_updatesenhancements_for_rhel__centos_5www.tuxad.de/blog/archives/2018/07/21/tuxad_rh5_repo_now_with_phpopenssl1
このリポジトリには、OpenSSL 1に対して再構築されるいくつかのパッケージが含まれています。
- httpd(ECDHサポートなどの他の拡張機能も含まれます)
- 後置
- ダブコット
- curl
- リンクス
- mutt
- vsftpd
- w3m
- wget
- php
- rHEL 6のphpがバックポートされました(別のリポジトリ「tuxad-php」に)