ubuntu openssl配置步骤

以下是Ubuntu系统配置OpenSSL的核心步骤：

1. 安装OpenSSL

   sudo apt update  
   sudo apt install openssl  # 安装基础包  
   sudo apt install libssl-dev  # 安装开发库（可选，用于编译）  
   openssl version  # 验证安装  
   

2. 配置环境变量（可选）

   • 编辑用户shell配置文件（如.bashrc）：

     echo 'export PATH=/usr/local/openssl/bin:$PATH' >> ~/.bashrc  
     echo 'export LD_LIBRARY_PATH=/usr/local/openssl/lib:$LD_LIBRARY_PATH' >> ~/.bashrc  
     source ~/.bashrc  
     

   • 若需多版本共存，需手动指定安装路径并更新软链接。

3. 修改配置文件（可选）

   • 配置文件路径：/etc/ssl/openssl.cnf
   • 备份原始文件：

     sudo cp /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.bak  
     

   • 编辑文件（如设置默认加密算法、证书路径等），保存后更新缓存：

     sudo openssl rehash  
     

4. 生成证书与密钥（可选）

   • 生成自签名根证书：

     sudo openssl req -x509 -newkey rsa:4096 -keyout /etc/ssl/private/rootCA.key -out /etc/ssl/certs/rootCA.pem -days 3650  
     

   • 生成服务器证书：

     sudo openssl req -newkey rsa:2048 -nodes -keyout /etc/ssl/private/server.key -out /etc/ssl/certs/server.csr  
     sudo openssl x509 -req -in server.csr -CA /etc/ssl/certs/rootCA.pem -CAkey /etc/ssl/private/rootCA.key -out /etc/ssl/certs/server.crt -days 365  
     

5. 配置Web服务器（可选）

   • Nginx：编辑/etc/nginx/sites-available/default，添加SSL配置并重启服务。
   • Apache：启用SSL模块并编辑/etc/apache2/sites-available/default-ssl.conf，重启服务。

6. 安全加固

   • 禁用不安全协议：在/etc/ssl/openssl.cnf的[system_default_sect]中设置MinProtocol TLSv1.2。
   • 设置私钥权限：

     sudo chmod 600 /etc/ssl/private/*.key  
     

说明：默认配置通常满足基础需求，如需自定义（如多版本管理、特殊加密算法），需参考OpenSSL官方文档调整配置文件。