openssl.cnf文件的正确位置

我有一个Ubuntu系统,我已经安装了OpenSSL.现在我想对配置文件进行更改.我搜索了我的文件夹,找到了配置文件的以下位置.哪个是我应该用来进行更改的主要/正确的？我需要在这里添加引擎.任何帮助,将不胜感激.以下是地点:

/usr/local/ssl/openssl.cnf
/usr/lib/ssl/openssl.cnf
/etc/ssl/openssl.cnf

jww.. 32

/usr/local/ssl/openssl.cnf

这是本地安装.您下载并构建了prefix使用./config --prefix=/usr/local/ssl或配置的默认OpenSSL ./config --openssldir=/usr/local/ssl.

如果您使用OpenSSL,您将使用此/usr/local/ssl/bin.也就是说,/usr/local/ssl/openssl.cnf将在您发出时使用:

/usr/local/ssl/bin/openssl s_client -connect localhost:443 -tls1 -servername localhost

/usr/lib/ssl/openssl.cnf

这是Ubuntu openssl.cnf为他们提供的OpenSSL 放置的地方.

如果您使用OpenSSL,您将使用此/usr/bin.也就是说,/usr/lib/ssl/openssl.cnf将在您发出时使用:

openssl s_client -connect localhost:443 -tls1 -servername localhost

/etc/ssl/openssl.cnf文件

我不知道什么时候使用它.这些东西/etc/ssl通常是证书和私钥,它有时包含一份副本openssl.cnf.但我从来没有见过它用于任何东西.

哪个是我应该用来进行更改的主要/正确的？

从它的声音,你应该添加引擎/usr/lib/ssl/openssl.cnf.这确保了大多数"现成"装备将使用新发动机.

完成后,将其添加到/usr/local/ssl/openssl.cnf也可以,因为复制/粘贴很容易.

以下是如何查看openssl.cnf与OpenSSL安装关联的目录.图书馆和计划寻找openssl.cnf在OPENSSLDIR.OPENSSLDIR是一个配置选项,其设置为--openssldir.

我在MacBook上有3种不同的OpenSSL(Apple,MacPort和我建的):

# Apple    
$ /usr/bin/openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/System/Library/OpenSSL"

# MacPorts
$ /opt/local/bin/openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/opt/local/etc/openssl"

# My build of OpenSSL
$ openssl version -a | grep OPENSSLDIR
OPENSSLDIR: "/usr/local/ssl/darwin"

我有一个Ubuntu系统,我已经安装了openssl.

只是自行车脱落,但要小心Ubuntu的OpenSSL版本.它禁用TLSv1.1和TLSv1.2,因此您只能拥有能够使用旧密码套件的客户端; 并且您将无法使用更新的密码,如AES/CTR(替换RC4)和椭圆曲线齿轮(如ECDHE_ECDSA_*和ECDHE_RSA_*).请参阅Ubuntu 12.04 LTS:OpenSSL下层版本是1.0.0,并且不支持 Launchpad中的TLS 1.2.

编辑:Ubuntu最近启用了TLS 1.1和TLS 1.2.有关错误报告,请参阅注释17.