Линукс с нуля - Версия 12.1

Глава 8. Установка базового системного программного обеспечения

8.47. OpenSSL-3.2.1

Пакет OpenSSL содержит инструменты управления и библиотеки, относящиеся к криптографии. Они полезны для предоставления криптографических функций другим пакетам, таким как OpenSSH, приложениям электронной почты и веб-браузерам (для доступа к сайтам по HTTPS).

Приблизительное время сборки: 1.8 SBU
Требуемое дисковое пространство: 805 MB

8.47.1. Установка пакета OpenSSL

Подготовьте OpenSSL к компиляции: 

./config --prefix=/usr         \
         --openssldir=/etc/ssl \
         --libdir=lib          \
         shared                \
         zlib-dynamic

Скомпилируйте пакет: 

make

Чтобы протестировать пакет, выполните: 

HARNESS_JOBS=$(nproc) make test

Известно, что один тест, 30-test_afalg.t, завершится ошибкой, если в ядре хоста не включен параметр CONFIG_CRYPTO_USER_API_SKCIPHER или отсутствуют какие-либо опции, обеспечивающих реализацию AES с CBC (например, комбинация CONFIG_CRYPTO_AES и CONFIG_CRYPTO_CBC или CONFIG_CRYPTO_AES_NI_INTEL, если процессор поддерживает AES-NI). В случае неудачи его можно смело игнорировать.

Установите пакет: 

sed -i '/INSTALL_LIBS/s/libcrypto.a libssl.a//' Makefile
make MANSUFFIX=ssl install

Добавьте версию к имени каталога документации, чтобы структура соответствовала другим пакетам: 

mv -v /usr/share/doc/openssl /usr/share/doc/openssl-3.2.1

По желанию, установите дополнительную документацию: 

cp -vfr doc/* /usr/share/doc/openssl-3.2.1
[Примечание]

Примечание

Вы должны обновить OpenSSL, когда будет выпущена новая версия, исправляющая уязвимости. Начиная с OpenSSL 3.0.0, схема управления версиями OpenSSL следует формату MAJOR.MINOR.PATCH. Совместимость API/ABI гарантируется для одной и той же ОСНОВНОЙ (MAJOR) версии. Поскольку LFS устанавливает только общие библиотеки, нет необходимости перекомпилировать пакеты, которые ссылаются на libcrypto.so или libssl.so, при обновлении до версии с тем же ОСНОВНЫМ номером версии.

Все запущенные программы, связанные с этими библиотеками, после обновления необходимо остановить и перезапустить. Для получения более подробной информации ознакомьтесь с соответствующей записью в Раздел 8.2.1, «Проблемы с обновлением».

8.47.2. Содержимое пакета OpenSSL

Установленные программы: c_rehash и openssl
Установленные библиотеки: libcrypto.so и libssl.so
Созданные каталоги: /etc/ssl, /usr/include/openssl, /usr/lib/engines и /usr/share/doc/openssl-3.2.1

Краткое описание

c_rehash

это Perl скрипт, который сканирует все файлы в каталоге и добавляет символические ссылки к их хеш-значениям. Использование c_rehash считается устаревшим и должно быть заменено командой openssl rehash

openssl

это инструмент командной строки для использования различных криптографических функций библиотеки OpenSSL из оболочки. Его можно использовать для различных функций, которые задокументированы в openssl(1)

libcrypto.so

реализует широкий спектр криптографических алгоритмов, используемых в различных интернет-стандартах. Услуги, предоставляемые этой библиотекой, используют OpenSSL-реализацию SSL, TLS и S/MIME, а также для реализации OpenSSH, OpenPGP и других криптографических стандартов.

libssl.so

реализует протокол безопасности транспортного уровня (TLS v1). Он предоставляет богатый API, документацию по которому можно найти в руководстве ssl(7)