在 CentOS 系统中,通过编译源码的方式安装 OpenSSL,能够让用户获得最新版本的库,从而支持新的加密算法、提升安全性并优化性能,相比于使用 yum 等包管理器,编译安装提供了更高的定制性和控制权,但同时也需要手动处理依赖和后续更新,本文将详细介绍在 CentOS 上编译安装 OpenSSL 的完整流程。
准备工作
在开始编译之前,确保系统已安装必要的开发工具和依赖库,这些工具是编译任何源码软件的基础。
以 root 用户或使用 sudo 权限执行以下命令,安装“Development Tools”工具组以及一些关键的依赖包:
sudo yum groupinstall -y "Development Tools" sudo yum install -y perl-core zlib-devel wget
- Development Tools: 这个软件组包含了编译器(如 GCC)、
make等核心构建工具。 - perl-core: OpenSSL 的配置和测试脚本依赖 Perl。
- zlib-devel: 启用 zlib 压缩支持,这对于优化 TLS 连接性能至关重要。
- wget: 用于从官网下载 OpenSSL 源码包。
编译安装步骤
准备工作完成后,我们便可以开始下载、配置、编译和安装 OpenSSL。
下载并解压源码
访问 OpenSSL 官方网站(https://www.openssl.org/source/)获取最新稳定版的源码下载链接,本文以 openssl-3.0.12 版本为例,请根据实际情况替换为最新版本号。
# 创建一个用于存放源码的目录 mkdir ~/openssl_src && cd ~/openssl_src # 下载源码包 wget https://www.openssl.org/source/openssl-3.0.12.tar.gz # 解压 tar -xvf openssl-3.0.12.tar.gz cd openssl-3.0.12
配置编译选项
这是编译过程中最关键的一步。./config 脚本用于检查系统环境并生成 Makefile,为了不与系统自带的 OpenSSL 产生冲突,我们强烈建议将其安装到自定义目录,/usr/local/ssl。
./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
配置参数说明:
--prefix=/usr/local/ssl: 指定安装目录,所有程序、库文件和头文件都将安装在此目录下。--openssldir=/usr/local/ssl: 指定 OpenSSL 的配置文件和证书目录。shared: 强制生成共享库(.so文件),这样其他应用程序才能动态链接到它。zlib: 启用 zlib 压缩支持。
编译与安装
配置成功后,执行 make 命令进行编译,为了加快编译速度,可以使用 -j 参数指定并行任务数,通常设置为 CPU 核心数。
# 假设系统有4个CPU核心 make -j4
编译过程若无错误,接下来执行安装命令,此步骤需要 root 权限,因为要向系统目录写入文件。
sudo make install
配置系统环境
安装完成后,系统默认仍然会使用旧的 OpenSSL,我们需要更新环境变量,让系统能够找到并使用我们新编译的版本。
更新动态链接库缓存
将新安装的 OpenSSL 库文件路径添加到系统的动态链接器配置中。
sudo echo '/usr/local/ssl/lib64' > /etc/ld.so.conf.d/openssl.conf sudo ldconfig -v
注意: 在 OpenSSL 3.x 版本中,64位库文件通常位于
lib64目录,对于旧版本,可能是lib目录,请根据实际情况调整。
更新 PATH 环境变量
为了让命令行可以直接调用新的 openssl 可执行文件,需要更新 PATH 环境变量。
sudo echo 'export PATH=/usr/local/ssl/bin:$PATH' > /etc/profile.d/openssl.sh source /etc/profile.d/openssl.sh
验证安装
通过以下命令验证 OpenSSL 是否已成功更新。
which openssl
该命令应输出:/usr/local/ssl/bin/openssl
openssl version -a
该命令将显示详细的版本信息,包括编译日期和平台,可以清晰地看到版本已更新为我们刚刚编译的版本。
为了更直观地展示效果,下表对比了更新前后的状态:
| 项目 | 更新前 | 更新后 |
|---|---|---|
which openssl | /usr/bin/openssl | /usr/local/ssl/bin/openssl |
openssl version | OpenSSL 1.1.1k (系统旧版本) | OpenSSL 3.0.12 (新编译版本) |
| 库文件路径 | /usr/lib64/libssl.so | /usr/local/ssl/lib64/libssl.so |
至此,您已成功在 CentOS 系统上通过编译方式安装了最新版的 OpenSSL,通过这种方式安装的软件无法通过 yum update 自动更新,未来需要您手动重复此过程进行升级。
相关问答 (FAQs)
我按照步骤编译安装后,为什么执行 openssl version 命令显示的还是旧版本?
解答: 这个问题通常是由于系统环境变量没有正确配置或未生效导致的,请按以下步骤排查:
- 检查 PATH:执行
echo $PATH,查看输出中是否包含/usr/local/ssl/bin,并且它位于/usr/bin之前,如果没有,请重新执行source /etc/profile.d/openssl.sh或完全退出当前会话重新登录。 - 检查动态链接库:执行
ldconfig -p | grep ssl,查看系统是否能找到/usr/local/ssl/lib64/libssl.so,如果找不到,请检查/etc/ld.so.conf.d/openssl.conf文件内容是否正确,并重新运行sudo ldconfig。 - 使用绝对路径:直接执行
/usr/local/ssl/bin/openssl version,如果能显示新版本,则说明安装本身没有问题,只是环境配置的环节出了差错。
编译安装 OpenSSL 和直接使用 yum install openssl 有什么本质区别?各有什么优缺点?
解答: 两者的主要区别在于软件来源、版本控制和管理方式。
- yum 安装:
- 优点:简单快捷,自动处理依赖关系,可以通过
yum update进行统一的安全更新,维护成本低。 - 缺点:版本通常滞后于官方最新发布,无法进行深度定制(如禁用特定算法),灵活性差。
- 优点:简单快捷,自动处理依赖关系,可以通过
- 编译安装:
- 优点:可以获得最新的源码版本,支持最新的安全特性和算法;可以通过
./config参数进行高度定制,满足特殊需求;不与系统 RPM 包冲突,可以与系统旧版本并存。 - 缺点:过程相对复杂,需要手动解决依赖;升级和维护需要手动重复编译安装过程,容易被遗忘,存在安全风险;如果安装路径不当,可能会破坏系统稳定性。
- 优点:可以获得最新的源码版本,支持最新的安全特性和算法;可以通过
【版权声明】:本站所有内容均来自网络,若无意侵犯到您的权利,请及时与我们联系将尽快删除相关内容!
发表回复