RHEL6 openssl + httpd 混乱

RHEL6 openssl + httpd 混乱

openssl + httpd(SSL)について混乱しています。

以前の管理者から管理するrhel 6サーバーを受け取りました。このサーバーは(HTTPS)ウェブサイトをホストします。

私は最近opensslを最新バージョンに更新しました。OpenSSL 1.0.2a 2015年3月19日

これで、httpdキー/証明書も再生成する必要があると思います。ここで私を確認または編集できる人はいますか?

編集:問題は、Opensslが最新バージョンであるにもかかわらず、脆弱性スキャンにまだ古いバージョンのopenssl(<1.0.2)であるTCP 443が使用中であることを示していることです。使用しているopensslが1.0.2で、他のバージョンがないことをどのように確認できますか? ?

Edit2:新しい返信を読んだ後、さらに情報を追加してください。

まず、次のopensslパッケージがインストールされます。

# yum list openssl
Installed Packages
openssl.i686 1.0.0-27.el6
openssl.x86_64 1.0.0-27.el6

パッケージ(他のサーバー)用に構成されたリポジトリに新しいパッケージがありますが、rhel6ボックスには新しいアップデートが表示されないことがわかりました。

だから私は最近rpm opensslパッケージを手動でコピーしました。

openssl-1.0.1e-42.el6.i686.rpm
openssl-1.0.1e-42.el6.x86_64.rpm

既存のパッケージを削除しました。

# yum remove openssl-1.0.0-27.el6.i686
It removed this version as well as several dependencies.

次に、現在のバージョンをインストールしてみてください。

# yum install openssl-1.0.1e-42.el6.i686.rpm  
  Setting up Install Process Examining openssl-1.0.1e-42.el6.i686.rpm:
  openssl-1.0.1e-42.el6.i686 Marking openssl-1.0.1e-42.el6.i686.rpm as
  an update to openssl-1.0.0-27.el6.x86_64 
  Error: Nothing to do

したがって、インストールされません。

その後、現在のバージョンを確認しました。

# openssl version
OpenSSL 1.0.2a 19 Mar 2015

この1.0.2aも以前にインストールされていたようですが、今は最新バージョンになったようです。

編集3:

openssl rpm 情報を追加します。

$ rpm -q openssl
openssl-1.0.0-27.el6.x86_64

したがって、rpmバージョンとopensslバージョンは異なります。これが正しいかどうかはわかりません。

とても感謝しています。

答え1

OpenSSLをアップグレードする理由によって異なります。

  • 元のバージョンでは利用できない暗号化アルゴリズムを提供するため、アップグレードする場合は、明らかに最新のOpenSSLを使用してこの新しいアルゴリズムで新しいキーを生成する必要があります。

  • OpenSSLのよく知られたバグのためにアップグレードし、サイトが破損していると思われる場合は、証明書を交換する必要があります。破損していると思うかどうかは、間に交換するのが賢明です。特に、以前の管理者がメンテナンスの面で何をしたのかわからない場合は安全です。これRed Hat 記事役に立つかもしれません。

  • スケジュールされたメンテナンスプロセスの一部にのみアップグレードする場合は、証明書を変更する必要はありません。他のソフトウェアパッケージと同様に、OpenSSLは管理者が定期的に更新できますが、毎回証明書を交換する必要はありません。

答え2

通常、OpenSSLを更新するときにキーと証明書を再生成する必要はありません。これは、キー/証明書の生成に問題がある場合にのみ必要です。Debian で発生した問題と同様に

答え3

習慣。キーと証明書はOpenSSLバージョンとは独立した形式で保存されます(他のSSL / TLS実装で使用することもできます)。唯一の可能性は、OpenSSL 1.0.2がセキュリティ上の理由で既存のキーに依存する機能を無効にした可能性があることです(キーが非常に古くない場合は不可能です)。しかし、確認するのは簡単です。 TLS経由で接続できる場合は、サーバーを起動してください。

関連情報