openssh 的升关联新的 openssl 升级异常 升级 openssh 的版本在编译的时候就出现了错误，提示 ssl 的版本不匹配，最低需要 1.1 编译openssl 所以我们安装了一个最新版本的 openssl-1.1.1新版 ./config --prefix=/usr/local/openssl1.1.1 shared zlib make && make install 再次尝试 这次配置的时候关联了 openssl 的目录 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-privsep-path=/var/lib/sshd --with-pam --with-ssl-dir=/usr/local/openssl1.1.1 但是配置仍然报错，内容如下： checking OpenSSL header version... failed 查看了配置参数，只有这一个是指定路径的，所以参数名应该是没有问题的，于是我又更换为了 openssl 解压后的源码目录，但仍然是相同的错误 继续排查 又怀疑是 openssl-1.1.1 版本太低，于是又下载了一个 openssl-3.3.1 使用上面相同的方式测试，但结果仍然是一样的报错 接下来，详细的查看了 openssh 当前目录下的 config.log 日志，发现有如下错误： error while loading shared libraries: libcrypto.so.3 ./conftest: error while loading shared libraries: libcrypto.so.3: cannot open shared object file 应该就是动态库文件没有找到，所以还是把动态库加入到 ldconfig 算了，加入到环境变量中，这样应该就不会找不到了 echo /usr/local/openssl/lib64 >> /etc/ld.so.conf.d/ssl3.conf && ldconfig && ldconfig -pv 果然再次编译没有任何错误 安装完成 还要还原 /etc/pam.d/sshd，第一次从 rpm 源码升级，rpm 卸载会重命名备份这个文件为 sshd.rpmsave 复制启动脚本到 并且设置开机自启 接着为了保证配置跟以前一致，可以还原之前的配置，避免前后端口不一致导致连不上了 再接下来测试配置文件 sshd -t ，保证配置文件测试无误后重启

python3.10的安装 安装问题 python3.10 要求 openssl1.1 ，所以一般源码正常安装完后，也是有部分功能异常的，比如 requests，urllib，以及 pip 安装模块，基本上都是提示 ssl 存在问题，例如 pip 是如下错误: Could not fetch URL https://pypi.org/simple/xxx/: There was a problem confirming the ssl certificate: HTTPSConnectionPool(host='pypi.org', port=443): Max retries exceeded with url: /simple/xxx/ (Caused by SSLError(SSLEOFError(8, 'EOF occurred in violation of protocol (_ssl.c:997)'))) - skipping 如何解决 解决这个问题查询了很多资料，中途还有设置很多的环境变量之类，最后这里使用一个最简单的安装办法来解决这个问题： 准备操作系统，不符合 openssl1.1 的需求 准备 openssl1.1 的最新包，在 openssl 官方网站下载，20240520 首页最新最低只有3.0了，所以从归档下载吧 安装 openssl ，如下步骤 #./config --prefix=/usr/local/openssl ./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl -Wl,-rpath,/usr/local/openssl/lib shared zlib make && make install 把 openssl 库文件加载到系统中 echo "/usr/local/openssl/lib/" >> /etc/ld.so.conf.d/ssl.conf && ldconfig -pv ldconfig 然后可以通过 ldconfig -pv | grep ssl 查看到是否存在 ssl1.1 的版本 5. 安装 python3.10 ./configure --prefix=/usr/local/python3.10 --with-openssl=/usr/local/openssl make && make install 通过这样安装之后，基本上在后续的使用都不会存在ssl的问题 错误之一 20240525 python3错误一，在安装完成后导入某些模块仍然可能报如下错误: ModuleNotFoundError: No module named '_ctypes' 这是因为系统依赖不完整导致，一般使用 centos 不会出现这个问题，而 ubuntu 等出现的概率较大 需要安装以下依赖，然后重新编译安装 python3 # centos yum install libffi-devel -y # ubuntu sudo apt-get install libffi-dev

https/ssl/tls安全性测试 0x1 测试方式推荐 手动 + openssl 测试。通过浏览器F12查看各安全头是否设置，通过 openssl 命令测试支持的 ssl 协议 openssl s_client -connect xxx.xxx.gov.cn:443 -ssl3 使用在工具测试 myssl.com 部署工具本地测试 testssl # github 代码地址 https://github.com/drwetter/testssl.sh # 官网 https://testssl.sh/

openssl生成自签证书ssl 0x1 方案一 私钥 openssl genrsa -out server.key 1024 证书 openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3" 根据实际修改里面的内容，适合比较熟练的人 0x2 方案二 openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout cert.key -out cert.pem # 支持配置区域和fqdn域名 openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \ -keyout nginx.key \ -out nginx.crt \ -subj "/C=CN/ST=Hubei/L=Wuhan/O=Technology Co., Ltd./OU=Development/CN=59.xx.xx.xx/emailAddress=admin@example.com" 0x3 方案三 openssl genrsa -out <foo>.key 2048 openssl req -new -key <foo>.key -out <foo>.csr openssl x509 -req -days 365 -in <foo>.csr -signkey <foo>.key -out <foo>.cert