RHEL6/CentOS/SL6のApacheでTLSv1.2サポートを取得するには？

TLSv1.2 および ECC サポートを追加するために、バンドル 1.0.0 バージョンを交換し、RHEL6 とそのバリエーションをサポートするために Fedora Core で OpenSSL 1.0.1 RPM をバックポートする方法に関するクイックガイドを作成しました. 2013 年 9 月 CentOS 6.4 用に構築およびテストされました。

CentOS 6用OpenSSL 1.0.1 RPMガイド

注：これにはOpenSSLとOpenSSHの最新のコピーがあります。 CentOS 6.5の改善はTLS1.2の必要性を大幅に軽減し、2013年にも永遠に答えとして残るHeartbleedのような欠陥を解決します。次の手順に従わないでください。 1.0.1g以上を実行する必要があります。

今githubで：github/ptudor/centos6-openssl

このガイドで参照するパッチを提供しました。openssl-spec-patricktudor-latest.diff

まず、ビルド環境を準備します。 （すでにEPELがインストールされている場合は、偽装を使用してください。ここでは簡単にしてください...）

yum -y groupinstall "Development tools" 
yum -y install rpm-build zlib-devel krb5-devel
mkdir -p $HOME/redhat/{BUILD,RPMS,SOURCES,SPECS,SRPMS}
echo "%_topdir $HOME/redhat/" > ~/.rpmmacros

次に、OpenSSL用Fedora Core 20 SRPMと完全なOpenSSLソースコードを入手してください。

rpm -Uvh http://dl.fedoraproject.org/pub/fedora/linux/development/rawhide/source/SRPMS/o/openssl-1.0.1e-42.fc21.src.rpm
cd ~/redhat/SOURCES/
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz.sha1
openssl dgst -sha1 openssl-1.0.1g.tar.gz ; cat openssl-1.0.1g.tar.gz.sha1

これで、古いsecure_getenv構文を適用し、パッチを適用します。

cd ~/redhat/SOURCES/
sed -i -e "s/secure_getenv/__secure_getenv/g" openssl-1.0.1e-env-zlib.patch
cd ~/redhat/SPECS/
wget http://www.ptudor.net/linux/openssl/resources/openssl-spec-patricktudor-fc20-19.diff
patch -p1 < openssl-spec-patricktudor-latest.diff

ビルドを実行します。

time rpmbuild -ba openssl.spec

すべてがうまくいくことを願っています。新しいRPMをインストールしてみましょう。

cd ~/redhat/RPMS/x86_64/
sudo rpm -Fvh openssl-1.0.1g-*.rpm openssl-libs-1.0.1g-*.rpm openssl-devel-1.0.1g-*.rpm

実際に動作していることを確認してください。

openssl ciphers -v 'TLSv1.2' | head -4

私のウェブサイトの上のリンクに詳細がありますが、これは良い出発点になります。

ありがとうございます。

20130819：レザーレザーバージョンが14から15に増加しました

20130831：fc20リビジョンが15から18に増加しました。

20130906：fc20リビジョンが18から19に増加しました。

20140408：1.0.1g以降のすべてのアイテムは私のサイトにアクセスできます。