openssl + httpd(SSL)에 대해 혼란스러워요.
이전 관리자로부터 관리할 rhel 6 서버를 받았습니다. 이 서버는 (HTTPS) 웹사이트를 호스팅합니다.
최근에 openssl을 최신 버전으로 업데이트했습니다.OpenSSL 1.0.2a 2015년 3월 19일
이제 httpd 키/인증서도 다시 생성해야 한다고 생각합니다..? 여기에서 나를 확인하거나 수정할 수 있는 사람이 있나요?
편집: 문제는 Openssl이 최신 버전임에도 불구하고 취약성 스캔에 여전히 이전 버전의 openssl(<1.0.2)인 TCP 443이 사용 중이라는 것이 표시된다는 것입니다. 사용 중인 openssl이 1.0.2이고 다른 버전은 없는지 어떻게 확인할 수 있나요? ?
…
Edit2: 새 답글을 읽은 후 더 많은 정보를 추가하세요.
처음에는 다음 openssl 패키지가 설치됩니다.
# yum list openssl
Installed Packages
openssl.i686 1.0.0-27.el6
openssl.x86_64 1.0.0-27.el6
패키지(다른 서버)용으로 구성된 리포지토리에 새 패키지가 있지만 rhel6 상자에는 새 업데이트가 표시되지 않는 것으로 나타났습니다.
그래서 최근 rpm openssl 패키지를 수동으로 복사했습니다.
openssl-1.0.1e-42.el6.i686.rpm
openssl-1.0.1e-42.el6.x86_64.rpm
기존 패키지를 제거했습니다.
# yum remove openssl-1.0.0-27.el6.i686
It removed this version as well as several dependencies.
그런 다음 현재 버전을 설치해 보십시오.
# yum install openssl-1.0.1e-42.el6.i686.rpm
Setting up Install Process Examining openssl-1.0.1e-42.el6.i686.rpm:
openssl-1.0.1e-42.el6.i686 Marking openssl-1.0.1e-42.el6.i686.rpm as
an update to openssl-1.0.0-27.el6.x86_64
Error: Nothing to do
따라서 설치되지 않습니다.
그런 다음 현재 버전을 확인했습니다.
# openssl version
OpenSSL 1.0.2a 19 Mar 2015
이 1.0.2a도 예전에 설치되었던 것 같은데 지금은 최신 버전이 된 것 같습니다.
…
편집 3:
openssl rpm 정보를 추가합니다.
$ rpm -q openssl
openssl-1.0.0-27.el6.x86_64
…
따라서 rpm 버전과 openssl 버전이 다릅니다. 이것이 올바른지 확실하지 않습니다.
…
매우 감사합니다.
답변1
OpenSSL을 업그레이드하는 이유에 따라 다릅니다.
원본 버전에서 사용할 수 없는 암호화 알고리즘을 제공하기 때문에 업그레이드하는 경우에는 분명히 최신 OpenSSL을 사용하여 이 새 알고리즘으로 새 키를 생성해야 합니다.
OpenSSL의 잘 알려진 버그로 인해 업그레이드했으며 사이트가 손상되었다고 생각되면 인증서를 교체해야 합니다. 손상되었다고 생각하든지 간에 교체하는 것이 현명합니다. 특히 이전 관리자가 유지 관리 측면에서 무엇을 했는지 모르는 경우에는 안전합니다. 이것Red Hat 기사도움이 될 수도 있습니다.
예약된 유지 관리 프로세스의 일부로만 업그레이드하는 경우 인증서를 변경할 필요가 없습니다. 다른 소프트웨어 패키지와 마찬가지로 OpenSSL은 관리자가 정기적으로 업데이트할 수 있지만 매번 인증서를 교체할 필요는 없습니다.
답변2
일반적으로 OpenSSL을 업데이트할 때 키와 인증서를 다시 생성할 필요가 없습니다. 이는 키/인증서 생성에 문제가 있는 경우에만 필요합니다.데비안에서 발생한 문제와 마찬가지로.
답변3
습관. 키와 인증서는 OpenSSL 버전과 독립적인 형식으로 저장됩니다(다른 SSL/TLS 구현과 함께 사용할 수도 있음). 유일한 가능성은 OpenSSL 1.0.2가 보안상의 이유로 기존 키에 의존하는 기능을 비활성화했을 수 있다는 것입니다(키가 아주 오래되지 않은 경우에는 불가능함). 하지만 확인하는 것은 쉽습니다. TLS를 통해 연결할 수 있으면 서버를 시작하세요.