web-dev-qa-db-fra.com

Comment mettre à jour OpenSSL 1.1.0 à 1.1.1 dans Ubuntu 18.04?

J'exécutais un serveur de production avec Ubuntu 18 installé. Récemment, j'ai constaté que mon application Web n'était pas autorisée sur certains des pare-feu installés chez le client.

J'ai constaté que mon serveur communiquait selon les protocoles TLSv1.0, TLSv1.1, TLSv1.2. Je suppose que le paramètre de pare-feu autorise la communication avec le serveur uniquement avec le protocole TLSv1.3.

Ubuntu 18 étant livré avec OpenSSL version 1.1.0, et pour que le serveur prenne en charge TLS v1.3, je dois mettre à jour OpenSSL vers version 1.1.1, qui est le dernier.

Comme il s’agit d’un serveur de production exécutant le nom de serveur nginx, je ne veux rien essayer directement sur le serveur.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Quel est le meilleur moyen de mettre OpenSSL à niveau vers la version 1.1.1 sans perturber les autres paramètres du serveur?

18.04upgradeopenssl
13
dollar

NOTE: à partir de juin 2019, openSSL 1.1.1 devrait être disponible pour l'installation via des mises à niveau/installations de paquetages normales.

Selon le site web OpenSSL :

La dernière version stable est la série 1.1.1. Il s’agit également de notre version de support à long terme (LTS), jusqu’au 11 septembre 2023.

Comme cela ne se trouve pas dans les référentiels Ubuntu actuels, vous devrez télécharger, compiler et installer manuellement la dernière version d'OpenSSL.

Voici les instructions à suivre:

  1. Ouvrez un terminal (Ctrl+Alt+t).
  2. Récupérer l'archive: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Décompressez l'archive avec tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Émettez la commande ./config.
  5. Exécutez la commande make(vous devrez peut-être exécuter Sudo apt install make gcc avant de pouvoir exécuter cette commande avec succès).
  6. Exécutez make test pour vérifier les erreurs possibles.
  7. Sauvegarde du fichier binaire openssl actuel: Sudo mv /usr/bin/openssl ~/tmp
  8. Émettez la commande Sudo make install.
  9. Créez un lien symbolique à partir de la nouvelle installation binaire vers l'emplacement par défaut: 
    Sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
  10. Exécutez la commande Sudo ldconfig pour mettre à jour les liens symboliques et reconstruire le cache de la bibliothèque.

En supposant qu'il n'y ait pas d'erreur dans l'exécution des étapes 4 à 10, vous devez avoir correctement installé la nouvelle version d'OpenSSL.

De nouveau, à partir du terminal, lancez la commande:

openssl version

Votre sortie devrait être comme suit:

OpenSSL 1.1.1a  20 Nov 2018
19
Kevin Bowen