cd /usr/local # 转到系统目录
wget https://github.com/openssl/openssl/archive/OpenSSL_1_1_1b.tar.gz # 下载
zxvf openssl-1.1.1b.tar.gz # 解压
cd openssl-1.1.1b
yum -y groupinstall "Development Tools"
yum install perl-core # 安装必要依赖,否则编译会炸
./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl shared zlib
make
make test # 测试安装
make install
echo "/usr/local/openssl-1.1.1b/lib/" >> /etc/ld.so.conf # 补充库文件
ldconfig -v # 刷新库文件
./bin/openssl version # 查看安装的版本
which openssl # 查看正在使用的版本目录,我的是/usr/bin/openssl
mv /usr/bin/openssl /usr/bin/openssl.old # 备份原来的版本
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl # 建立软链接,这样操作不需要改环境变量
openssl version # 查看当前版本,应该已经更新成功

将本机openssl版本更新后,需要在所有网站启用TLS1.3才能正常工作。
启用TLS1.3在nginx.conf配置文件中进行如下修改:加入TLS1.3及其加密套件。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:[原来的加密方式]

之后作为宝塔用户,编译安装nginx1.15就完成了。

可以用此命令测试下网站的TLS1.3:

/usr/local/openssl/bin/openssl s_client -connect domain.com:443 -tls1_3

另外,openssl1.0.2和1.1.0将于2019年底停止支持。

2 对 “使用TLS1.3/更新openssl1.1.1教程”的想法;

  1. 我配置 Apache TLS 1.3 时,由于配置文件没有 TLS 版本相关配置,编译完 OpenSSL 1.1 和新版 Apache 就直接打开 TLS 1.3 了。

    回复

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注