[linux-users: 108676] openssl(apache)のバージョンアップについて

山本 yamamoto.n @ raison.vc
2010年 11月 26日 (金) 10:07:07 JST


お世話になっております。

山本と申します。

centのメーリングリストに投稿してるのですが、
数日何もないので・・・
こちらにもご指導頂きたく投稿させて頂いております。

したい事:
OpenSSLをバージョンアップし、
SNIを使用したい。
(1つのIPアドレス、1つのポート(443)で複数のSSLサイト運用)
https://******.com:444
などは嫌なので・・・

repoを導入してバージョンアップをしようと思いましたが、

# yum remove openssl
すると、
Remove      348 Package(s)
Reinstall     0 Package(s)
Downgrade     0 Package(s)
な勢いなので怖くて出来ず・・・

現在の環境

# /httpd -V
Apache/2.2.17 (Unix)

# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

稼働中なのでなるべくダウン時間を少なくしたいと思っております。

wgetやcdは割合させて頂きます。

インストールするOpenSSLのバージョン
openssl-0.9.8k

# ./config enable-tlsext --prefix=/usr --openssldir=/etc/pki/tls shared
# make
# make install

# ln -s /etc/pki/tls /usr/local/ssl
# ln -s /usr/lib/libssl.so.0.9.8 /usr/lib/libssl.so.6
# ldconfig

上記が完了後

# openssl version
OpenSSL 0.9.8k 25 Mar 2009

だったのでコレだけで大丈夫なのかな?
って思いましたが、restartすると、
OpenSSL is not built with support for TLS extensions and SNI indication.
のエラーが・・
OpenSSL 0.9.8e-fips-rhel5のままと思われ、phpinfoなどでも確認した所、
OpenSSL Version  OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008  でした・・・

その他、

# ldd /usr/bin/openssl
        linux-gate.so.1 =>  (0x0085b000)
        libssl.so.0.9.8 => /usr/lib/libssl.so.0.9.8 (0x002e3000)
        libcrypto.so.0.9.8 => /usr/lib/libcrypto.so.0.9.8 (0x00335000)
        libdl.so.2 => /lib/libdl.so.2 (0x005fd000)
        libc.so.6 => /lib/libc.so.6 (0x004a2000)
        /lib/ld-linux.so.2 (0x00483000)

# ls -l /lib/libssl.so.6
lrwxrwxrwx 1 root root 16 May 16  2010 /lib/libssl.so.6 -> libssl.so.0.9.8e

# locate libcrypto.a
/usr/lib/libcrypto.a
/usr/local/src/openssl-0.9.8e/libcrypto.a
/usr/local/src/openssl-0.9.8k/libcrypto.a
/usr/local/ssl/lib/libcrypto.a

# ls -l /usr/local/ssl/lib/libcrypto.a
-rw-r--r-- 1 root root 2375726 Oct 23  2009 /usr/local/ssl/lib/libcrypto.a
# ls -l /usr/lib/libcrypto.a
-rw-r--r-- 1 root root 2426786 Nov 22 16:03 /usr/lib/libcrypto.a

なので、apacheが/usr/local/ssl/lib/libcrypto.aを読み込みに行ってると思わ
れるのですが、これを/usr/lib/libcrypto.aにする方法で、
なるべくダウン時間が短く他の設定やファイルに悪影響与えない方法はあります
でしょうか?

よろしくお願い致します。




linux-users メーリングリストの案内