openssl + httpd(SSL)について混乱しています。
以前の管理者から管理するrhel 6サーバーを受け取りました。このサーバーは(HTTPS)ウェブサイトをホストします。
私は最近opensslを最新バージョンに更新しました。OpenSSL 1.0.2a 2015年3月19日
これで、httpdキー/証明書も再生成する必要があると思います。ここで私を確認または編集できる人はいますか?
編集:問題は、Opensslが最新バージョンであるにもかかわらず、脆弱性スキャンにまだ古いバージョンのopenssl(<1.0.2)であるTCP 443が使用中であることを示していることです。使用しているopensslが1.0.2で、他のバージョンがないことをどのように確認できますか? ?
…
Edit2:新しい返信を読んだ後、さらに情報を追加してください。
まず、次のopensslパッケージがインストールされます。
# yum list openssl
Installed Packages
openssl.i686 1.0.0-27.el6
openssl.x86_64 1.0.0-27.el6
パッケージ(他のサーバー)用に構成されたリポジトリに新しいパッケージがありますが、rhel6ボックスには新しいアップデートが表示されないことがわかりました。
だから私は最近rpm opensslパッケージを手動でコピーしました。
openssl-1.0.1e-42.el6.i686.rpm
openssl-1.0.1e-42.el6.x86_64.rpm
既存のパッケージを削除しました。
# yum remove openssl-1.0.0-27.el6.i686
It removed this version as well as several dependencies.
次に、現在のバージョンをインストールしてみてください。
# yum install openssl-1.0.1e-42.el6.i686.rpm
Setting up Install Process Examining openssl-1.0.1e-42.el6.i686.rpm:
openssl-1.0.1e-42.el6.i686 Marking openssl-1.0.1e-42.el6.i686.rpm as
an update to openssl-1.0.0-27.el6.x86_64
Error: Nothing to do
したがって、インストールされません。
その後、現在のバージョンを確認しました。
# openssl version
OpenSSL 1.0.2a 19 Mar 2015
この1.0.2aも以前にインストールされていたようですが、今は最新バージョンになったようです。
…
編集3:
openssl rpm 情報を追加します。
$ rpm -q openssl
openssl-1.0.0-27.el6.x86_64
…
したがって、rpmバージョンとopensslバージョンは異なります。これが正しいかどうかはわかりません。
…
とても感謝しています。
ベストアンサー1
OpenSSLをアップグレードする理由によって異なります。
元のバージョンでは利用できない暗号化アルゴリズムを提供するため、アップグレードする場合は、明らかに最新のOpenSSLを使用してこの新しいアルゴリズムで新しいキーを生成する必要があります。
OpenSSLのよく知られたバグのためにアップグレードし、サイトが破損していると思われる場合は、証明書を交換する必要があります。破損していると思うかどうかは、間に交換するのが賢明です。特に、以前の管理者がメンテナンスの面で何をしたのかわからない場合は安全です。これRed Hat 記事役に立つかもしれません。
スケジュールされたメンテナンスプロセスの一部にのみアップグレードする場合は、証明書を変更する必要はありません。他のソフトウェアパッケージと同様に、OpenSSLは管理者が定期的に更新できますが、毎回証明書を交換する必要はありません。