Jak zaktualizować OpenSSL 1.1.0 do 1.1.1 w Ubuntu 18.04?

17

Uruchomiłem serwer produkcyjny z zainstalowanym Ubuntu 18. Ostatnio odkryłem, że moja aplikacja internetowa nie jest dozwolona w niektórych zaporach zainstalowanych w lokalizacji klienta.

Odkryłem, że mój serwer komunikuje się przy użyciu TLSv1.0, TLSv1.1, TLSv1.2protokołów, zakładam, że ustawienie zapory zezwala na komunikację z serwerem TLSv1.3tylko za pomocą protokołu.

Ponieważ Ubuntu 18 jest dostarczany wraz OpenSSL version 1.1.0z serwerem, TLS v1.3muszę zaktualizować OpenSSL do version 1.1.1najnowszej wersji.

Ponieważ jest to serwer produkcyjny z nginxserwerem, nie chcę bezpośrednio próbować niczego na serwerze.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Jaki jest najlepszy sposób uaktualnienia OpenSSL do wersji 1.1.1 bez zakłócania jakichkolwiek innych ustawień serwera?

18.04 upgrade openssl dolar
źródło
2
Do Twojej wiadomości: »OpenSSL 1.1.1 SRU na Bionic« lists.ubuntu.com/archives/ubuntu-devel/2018-December/... W międzyczasie porozmawiaj z odpowiednim kontaktem, który jest odpowiedzialny za konfigurację zapory, poproś o wymagania / zalecenia / zrzeczenia się. Wątpię, czy tylko ty masz 18.04 i masz ten problem, ani też nie sądzę, że brak obsługi TLS 1.3 w tym momencie jest problemem, ponieważ jest to wciąż całkiem nowy i wbrew oświadczeniu czytam, że nadal powoduje problemy z niektórymi środkowe skrzynki, ale nie dowiesz się, jeśli nie zapytasz.
LiveWireBT,
2
Aktualizacja nie będzie możliwa, dopóki nie przejdzie SRU. Jest zbyt wiele rzeczy, które zależą od OpenSSL, aby samemu dokonać aktualizacji, ponieważ może to wszystko zepsuć.
Thomas Ward
1
wreszcie bugs.launchpad.net/ubuntu/+source/openssl/+bug/1797386 jest w toku
Tino

Odpowiedzi:

34

UWAGA : Począwszy od ~ sierpnia 2019 r., OpenSSL 1.1.1 powinien być dostępny do instalacji za pośrednictwem zwykłych aktualizacji / instalacji pakietów dla 18.04. Możesz też pobrać pakiet .deb bezpośrednio stąd .

Według strony OpenSSL :

Najnowsza stabilna wersja to seria 1.1.1. Jest to również nasza wersja długoterminowego wsparcia (LTS), obsługiwana do 11 września 2023 r.

Ponieważ nie ma tego w bieżących repozytoriach Ubuntu, musisz ręcznie pobrać, skompilować i zainstalować najnowszą wersję OpenSSL.

Poniżej znajdują się instrukcje do naśladowania:

  1. Otwórz terminal ( Ctrl+ Alt+ t).
  2. Pobierz tarball: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Rozpakuj archiwum za pomocą tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Wydaj polecenie ./config.
  5. Wydaj polecenie make(może być konieczne uruchomienie sudo apt install make gccprzed pomyślnym uruchomieniem tego polecenia).
  6. Uruchom, make testaby sprawdzić możliwe błędy.
  7. Kopia zapasowa prądu openssl binarna: sudo mv /usr/bin/openssl ~/tmp
  8. Wydaj polecenie sudo make install.
  9. Utwórz dowiązanie symboliczne z nowo zainstalowanego pliku binarnego do domyślnej lokalizacji: 
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
  10. Uruchom polecenie, sudo ldconfigaby zaktualizować dowiązania symboliczne i odbudować pamięć podręczną biblioteki.

Zakładając, że podczas wykonywania kroków od 4 do 10 nie wystąpiły błędy, powinieneś pomyślnie zainstalować nową wersję OpenSSL.

Ponownie z terminalu wydaj polecenie: 

openssl version

Twój wynik powinien wyglądać następująco:

OpenSSL 1.1.1a  20 Nov 2018
Kevin Bowen
źródło
1
Odnośnie do „Od ~ czerwca 2019 r., OpenSSL 1.1.1 powinien być dostępny do instalacji za pośrednictwem zwykłych aktualizacji / instalacji pakietów”: Po prostu nie zauważam, że tak nie jest w przypadku Ubuntu 18.04 (przynajmniej na dwóch komputerach, na których próbowałem ) ...
logidelic
@logidelic Interesujące. Dzięki za zwrócenie na to uwagi. Zanotuję to. Moje główne systemy to 19.04 i mam kilka pochodnych (mennicy) opartych na bionice (18.04), które już otrzymały backports. Najwyraźniej launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4 może być nadal „proponowany” lub dostępny jako źródło w 18.04. Nie jestem do końca pewny statusu.
Kevin Bowen
Pracował również nad Debian Jessie. Użyto wersji 1.1.1c, ponieważ jest to ta sama wersja w Buster.
Rudolf Vavruch,