openssl.cnf文件的正確位置

Question

我有一個Ubuntu系統，並且我安裝了OpenSSL。現在我想對配置文件進行更改。我搜索了我的文件夾並找到了配置文件的以下位置。哪一個是我應該用來進行更改的主要/正確的？我需要在這裏添加引擎。任何幫助，將不勝感激。這裏是位置：

/usr/local/ssl/openssl.cnf 
/usr/lib/ssl/openssl.cnf 
/etc/ssl/openssl.cnf 

Answer 1

/usr/local/ssl/openssl.cnf

這是一個本地安裝。您下載並構建了OpenSSL，採用默認prefix，您配置了./config --prefix=/usr/local/ssl或./config --openssldir=/usr/local/ssl。

如果您使用/usr/local/ssl/bin中的OpenSSL，您將使用這個如果。也就是說，/usr/local/ssl/openssl.cnf的時候會使用您發出：

/usr/local/ssl/bin/openssl s_client -connect localhost:443 -tls1 -servername localhost 

---

/usr/lib/ssl/openssl.cnf

這是Ubuntu的地方openssl.cnf爲他們提供的OpenSSL 。

您將使用此如果您使用OpenSSL /usr/bin。也就是說，當你發出/usr/lib/ssl/openssl.cnf將用於：

openssl s_client -connect localhost:443 -tls1 -servername localhost 

---

/etc/ssl/openssl.cnf文件

這是用來當我不知道。 /etc/ssl中的內容通常是證書和私鑰，它有時包含openssl.cnf的副本。但我從來沒有見過它用於任何事情。

---

這是我應該使用進行更改主/正確的？

從它的聲音，你應該可以添加引擎到/usr/lib/ssl/openssl.cnf。這可以確保大多數「現成」齒輪將使用新的發動機。

做完之後，將其添加到/usr/local/ssl/openssl.cnf也是因爲複製/粘貼非常簡單。

---

以下是如何查看哪個openssl.cnf目錄與OpenSSL安裝相關聯。庫和程序在OPENSSLDIR中查找openssl.cnf。 OPENSSLDIR是一個配置選項，它的集合--openssldir。

我在3個不同的OpenSSL的一臺MacBook（蘋果，MacPort的和一個我建）：

# Apple  
$ /usr/bin/openssl version -a | grep OPENSSLDIR 
OPENSSLDIR: "/System/Library/OpenSSL" 

# MacPorts 
$ /opt/local/bin/openssl version -a | grep OPENSSLDIR 
OPENSSLDIR: "/opt/local/etc/openssl" 

# My build of OpenSSL 
$ openssl version -a | grep OPENSSLDIR 
OPENSSLDIR: "/usr/local/ssl/darwin" 

---

我有一個Ubuntu系統，我已經安裝了OpenSSL。

只是自行車脫落，但要小心Ubuntu的OpenSSL版本。它禁用TLSv1.1和TLSv1.2，因此您只能擁有較舊的密碼套件的客戶端;並且您將無法使用更新的AES/CTR（替換RC4）和橢圓曲線齒輪（如 ECDHE_ECDSA_*和 ECDHE_RSA_*）。請參閱啓動板中的 Ubuntu 12.04 LTS: OpenSSL downlevel version is 1.0.0, and does not support TLS 1.2。

編輯：Ubuntu最近啓用了TLS 1.1和TLS 1.2。有關錯誤報告，請參閱Comment 17。

Answer 2

/usr/local/ssl/openssl.cnf

是/etc/ssl/openssl.cnf文件

的

軟鏈接可以看到，在/ usr/local/ssl /目錄中使用長列表（ls -l），您將在其中找到

lrwxrwxrwx 1根根20 3 1 5時15 openssl.cnf中 - > /etc/ssl/openssl.cnf文件

Answer 3

RHEL：/etc/pki/tls/openssl.cnf