RHEL6 / CentOS / SL6上のApacheでTLSv1.2サポートを取得するにはどうすればよいですか？

バンドルされた1.0.0バージョンを置き換えてTLSv1.2およびECCサポートを追加することにより、RHEL6およびバリアントをサポートするためにFedora CoreからOpenSSL 1.0.1 RPMをバックポートすることに関するクイックガイドを書きました。 2013年9月にCentOS 6.4に対してビルドおよびテストされました。

CentOS 6のOpenSSL 1.0.1 RPMのガイド

注意：ここに、OpenSSLとOpenSSHのコピーを最新の状態に保ちます。 CentOS 6.5の改善によりTLS1.2の需要が大幅に軽減され、Heartbleedなどの欠陥が解決されましたが、この回答は2013年に永久に行き詰まります。以下の手順をそのまま実行しないでください。 。

今githubで： github/ptudor/centos6-openssl

このガイドで参照するパッチを用意しました： openssl-spec-patricktudor-latest.diff

まず、ビルド環境を準備します。 （EPELをインストールしている場合は、mockを使用してください。ここではシンプルにしてください...）

yum -y groupinstall "Development tools" 
yum -y install rpm-build zlib-devel krb5-devel
mkdir -p $HOME/redhat/{BUILD,RPMS,SOURCES,SPECS,SRPMS}
echo "%_topdir $HOME/redhat/" > ~/.rpmmacros

次に、OpenSSL用のFedora Core 20 SRPMと完全なOpenSSLソースを入手します。

rpm -Uvh http://dl.fedoraproject.org/pub/Fedora/linux/development/rawhide/source/SRPMS/o/openssl-1.0.1e-42.fc21.src.rpm
cd ~/redhat/SOURCES/
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz.sha1
openssl dgst -sha1 openssl-1.0.1g.tar.gz ; cat openssl-1.0.1g.tar.gz.sha1

次に、古いsecure_getenv構文を適用し、パッチを適用します。

cd ~/redhat/SOURCES/
sed -i -e "s/secure_getenv/__secure_getenv/g" openssl-1.0.1e-env-zlib.patch
cd ~/redhat/SPECS/
wget http://www.ptudor.net/linux/openssl/resources/openssl-spec-patricktudor-fc20-19.diff
patch -p1 < openssl-spec-patricktudor-latest.diff

ビルドを実行します。

time rpmbuild -ba openssl.spec

すべてうまくいけばうまくいくので、新しいRPMをインストールしましょう：

cd ~/redhat/RPMS/x86_64/
Sudo rpm -Fvh openssl-1.0.1g-*.rpm openssl-libs-1.0.1g-*.rpm openssl-devel-1.0.1g-*.rpm

実際に機能することを確認します。

openssl ciphers -v 'TLSv1.2' | head -4

上記の私のウェブサイトのリンクに詳細が記載されていますが、これは良い出発点になるはずです。

ありがとう、お楽しみください。

20130819：Rawhideリビジョンが14から15に引き上げられました。

20130831：fc20リビジョンが15から18に引き上げられました。

20130906：fc20リビジョンが18から19に引き上げられました。

20140408：1.0.1g以降のものについては、私のウェブサイトにアクセスしてください。