如何手动编译安装特定版本OpenSSL至宝塔面板以适配新协议?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1052个文字,预计阅读时间需要5分钟。
如果您需要在宝塔面板环境中启用TLS 1.3等新协议,但系统默认的OpenSSL版本过低(例如1.0.2系列),则需要手动编译安装满足要求的OpenSSL版本(例如1.1.1w或3.0.13)。以下是完成该操作的步骤:
一、确认当前OpenSSL版本与依赖关系
宝塔面板自身不直接管理OpenSSL底层库,但其托管的Nginx/Apache及Python环境均依赖系统级OpenSSL。升级前需验证当前版本是否阻碍协议支持,并避免替换后导致面板服务异常。关键点在于:仅替换开发库与运行时库路径,不覆盖系统默认/usr/bin/openssl命令,且确保宝塔所用Web服务器能正确链接新库。
1、执行openssl version -a查看当前版本及编译路径。
2、执行ldd /www/server/nginx/sbin/nginx | grep ssl确认Nginx当前链接的libssl.so位置。
3、执行/www/server/php/80/bin/php -i | grep "OpenSSL Library Version"检查PHP扩展所用OpenSSL版本(若使用PHP)。
二、下载并编译OpenSSL 1.1.1w源码
OpenSSL 1.1.1系列是长期支持版本,完整支持TLS 1.3且兼容性优于3.x系列,适合生产环境。编译时需指定非系统路径以避免冲突,并启用shared选项生成动态库供其他程序调用。
1、创建编译工作目录:mkdir -p /opt/openssl-1.1.1w && cd /opt/openssl-1.1.1w。
2、下载源码包:wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz。
3、解压并进入源码目录:tar -zxf openssl-1.1.1w.tar.gz && cd openssl-1.1.1w。
4、配置编译参数:./config --prefix=/usr/local/openssl-1.1.1w --openssldir=/usr/local/openssl-1.1.1w shared zlib。
5、编译并安装:make -j$(nproc) && make install。
三、更新动态链接库路径并验证新库可用性
系统需识别新安装的libssl.so和libcrypto.so,否则Nginx重启后仍加载旧库。通过修改ldconfig配置实现全局可见,同时保留原库不被覆盖。
1、创建配置文件:echo "/usr/local/openssl-1.1.1w/lib" > /etc/ld.so.conf.d/openssl-1.1.1w.conf。
2、刷新动态库缓存:ldconfig -v | grep openssl,确认输出中包含/usr/local/openssl-1.1.1w/lib路径。
3、验证新库导出符号:/usr/local/openssl-1.1.1w/bin/openssl version -a,应显示1.1.1w及built on信息。
四、重新编译Nginx以链接新OpenSSL
宝塔面板的Nginx默认静态链接或依赖系统库,必须通过源码重编译强制指向新OpenSSL路径,否则TLS 1.3无法启用。此步骤需在宝塔后台关闭Nginx后执行。
1、进入宝塔Nginx源码目录:cd /www/server/nginx/src(若无src目录,需先在宝塔软件管理中点击“编译安装”获取源码)。
2、备份原配置:cp auto/configure auto/configure.bak。
3、修改configure脚本,在ngx_feature_path相关段落中添加新OpenSSL头文件路径,例如追加--with-openssl=/usr/local/openssl-1.1.1w到./configure命令末尾(具体需参考当前Nginx编译参数,可通过/www/server/nginx/sbin/nginx -V获取)。
4、执行重编译:./configure --user=www --group=www --prefix=/www/server/nginx --with-openssl=/usr/local/openssl-1.1.1w [其余原有参数] && make && make install。
5、重启Nginx:bt restart 8(8为Nginx服务编号)。
五、配置Nginx启用TLS 1.3协议
仅升级OpenSSL库不足以激活新协议,还需在站点SSL配置中显式声明支持的协议列表。宝塔界面可直接修改,但需确保配置语法正确,否则Nginx将启动失败。
1、进入宝塔面板→网站→对应站点→SSL→配置文件。
2、在server块的ssl_protocols行中,替换为:ssl_protocols TLSv1.2 TLSv1.3;。
3、在ssl_ciphers行中,加入支持TLS 1.3的密钥套件,例如:ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';。
4、保存并强制重载Nginx:nginx -t && nginx -s reload。
本文共计1052个文字,预计阅读时间需要5分钟。
如果您需要在宝塔面板环境中启用TLS 1.3等新协议,但系统默认的OpenSSL版本过低(例如1.0.2系列),则需要手动编译安装满足要求的OpenSSL版本(例如1.1.1w或3.0.13)。以下是完成该操作的步骤:
一、确认当前OpenSSL版本与依赖关系
宝塔面板自身不直接管理OpenSSL底层库,但其托管的Nginx/Apache及Python环境均依赖系统级OpenSSL。升级前需验证当前版本是否阻碍协议支持,并避免替换后导致面板服务异常。关键点在于:仅替换开发库与运行时库路径,不覆盖系统默认/usr/bin/openssl命令,且确保宝塔所用Web服务器能正确链接新库。
1、执行openssl version -a查看当前版本及编译路径。
2、执行ldd /www/server/nginx/sbin/nginx | grep ssl确认Nginx当前链接的libssl.so位置。
3、执行/www/server/php/80/bin/php -i | grep "OpenSSL Library Version"检查PHP扩展所用OpenSSL版本(若使用PHP)。
二、下载并编译OpenSSL 1.1.1w源码
OpenSSL 1.1.1系列是长期支持版本,完整支持TLS 1.3且兼容性优于3.x系列,适合生产环境。编译时需指定非系统路径以避免冲突,并启用shared选项生成动态库供其他程序调用。
1、创建编译工作目录:mkdir -p /opt/openssl-1.1.1w && cd /opt/openssl-1.1.1w。
2、下载源码包:wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz。
3、解压并进入源码目录:tar -zxf openssl-1.1.1w.tar.gz && cd openssl-1.1.1w。
4、配置编译参数:./config --prefix=/usr/local/openssl-1.1.1w --openssldir=/usr/local/openssl-1.1.1w shared zlib。
5、编译并安装:make -j$(nproc) && make install。
三、更新动态链接库路径并验证新库可用性
系统需识别新安装的libssl.so和libcrypto.so,否则Nginx重启后仍加载旧库。通过修改ldconfig配置实现全局可见,同时保留原库不被覆盖。
1、创建配置文件:echo "/usr/local/openssl-1.1.1w/lib" > /etc/ld.so.conf.d/openssl-1.1.1w.conf。
2、刷新动态库缓存:ldconfig -v | grep openssl,确认输出中包含/usr/local/openssl-1.1.1w/lib路径。
3、验证新库导出符号:/usr/local/openssl-1.1.1w/bin/openssl version -a,应显示1.1.1w及built on信息。
四、重新编译Nginx以链接新OpenSSL
宝塔面板的Nginx默认静态链接或依赖系统库,必须通过源码重编译强制指向新OpenSSL路径,否则TLS 1.3无法启用。此步骤需在宝塔后台关闭Nginx后执行。
1、进入宝塔Nginx源码目录:cd /www/server/nginx/src(若无src目录,需先在宝塔软件管理中点击“编译安装”获取源码)。
2、备份原配置:cp auto/configure auto/configure.bak。
3、修改configure脚本,在ngx_feature_path相关段落中添加新OpenSSL头文件路径,例如追加--with-openssl=/usr/local/openssl-1.1.1w到./configure命令末尾(具体需参考当前Nginx编译参数,可通过/www/server/nginx/sbin/nginx -V获取)。
4、执行重编译:./configure --user=www --group=www --prefix=/www/server/nginx --with-openssl=/usr/local/openssl-1.1.1w [其余原有参数] && make && make install。
5、重启Nginx:bt restart 8(8为Nginx服务编号)。
五、配置Nginx启用TLS 1.3协议
仅升级OpenSSL库不足以激活新协议,还需在站点SSL配置中显式声明支持的协议列表。宝塔界面可直接修改,但需确保配置语法正确,否则Nginx将启动失败。
1、进入宝塔面板→网站→对应站点→SSL→配置文件。
2、在server块的ssl_protocols行中,替换为:ssl_protocols TLSv1.2 TLSv1.3;。
3、在ssl_ciphers行中,加入支持TLS 1.3的密钥套件,例如:ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';。
4、保存并强制重载Nginx:nginx -t && nginx -s reload。