蓝易云 - 在CentOS7/RHEL7上安装OpenSSL1.1.x教程
本文介绍在CentOS7/RHEL7上安全安装OpenSSL 1.1.x的企业级方案,采用并行安装方式,不影响系统自带的OpenSSL 1.0.2k。方案通过SCL工具链升级编译器,将OpenSSL 1.1.x安装到/usr/local/openssl11目录,并配置动态库路径。重点包括:1)使用devtoolset-9解决编译兼容问题;2)通过systemd环境变量使特定服务使用新版本;3)提供
下面给出CentOS 7 / RHEL 7 安装 OpenSSL 1.1.x 的企业级“并行安装、不中断系统库”方案。逻辑清晰、可直接落地,不覆盖系统自带 1.0.2k,避免把 yum/ssh 等关键组件搞崩。🚦
🎯目标与边界
-
目标:在 CentOS7/RHEL7 上并行安装
<span style="color:red">OpenSSL 1.1.x</span>到自定义目录(如/usr/local/openssl11),供 Nginx、应用程序等按需调用。 -
边界:不替换系统
/usr/bin/openssl与系统库,保持系统稳定。 -
现状提醒:
-
<span style="color:red">CentOS 7 已于 2024-06 结束社区生命周期</span>;很多包转入 Vault/内部仓。 -
<span style="color:red">OpenSSL 1.1.1 官方已 EOL</span>(厂商可能继续做 backport)。若是新项目,优先 OpenSSL 3.x;本教程面向必须兼容 1.1.x 的存量业务场景。
-
🧰 安装流程(并行安装,不动系统库)
全流程默认以 root 执行;若使用普通用户请加
sudo。
1)准备编译环境(SCL 工具链)
# 启用软件集合(Software Collections)
yum install -y centos-release-scl
# 安装较新编译器(示例选择 devtoolset-9;根据仓库可用性选择 7/8/9)
yum install -y devtoolset-9-gcc devtoolset-9-gcc-c++ devtoolset-9-binutils
# 临时启用(仅当前 Shell 会话生效)
scl enable devtoolset-9 bash
解释:CentOS7 自带 gcc 版本偏老,编译 OpenSSL 1.1.x 可能报语法/内联汇编不兼容。SCL 提供更高版本 gcc;scl enable 会开启一个带新工具链的子 Shell。
2)准备依赖与源码目录
yum groupinstall -y "Development Tools"
yum install -y perl-core zlib-devel
# 约定源码/安装目录
mkdir -p /usr/local/src /usr/local/openssl11
cd /usr/local/src
# 放置 OpenSSL 1.1.x 源码压缩包至当前目录(建议使用官方渠道获取 1.1.1w 等最终小版本)
# 示例占位:请将 tarball 放到当前目录(不要使用来历不明镜像)
# ls -lh openssl-1.1.1w.tar.gz
解释:Development Tools 提供 make、编译工具链;perl-core 编译阶段会用到;zlib-devel 用于启用压缩支持。不写下载链接是为了内网/白名单场景合规。
3)编译与安装(并行到 /usr/local/openssl11)
# 解压
tar xf openssl-1.1.1w.tar.gz
cd openssl-1.1.1w
# 配置(启用共享库与 zlib;设置前缀和 openssldir;加上 rpath 便于动态库查找)
./config \
--prefix=/usr/local/openssl11 \
--openssldir=/usr/local/openssl11 \
enable-ec_nistp_64_gcc_128 \
shared zlib \
-Wl,-rpath,/usr/local/openssl11/lib64
# 编译并安装(-j 并行度按 CPU 核心数自动取值)
make -j"$(nproc)"
make install_sw
# 注册动态库搜索路径
echo "/usr/local/openssl11/lib" > /etc/ld.so.conf.d/openssl11.conf
echo "/usr/local/openssl11/lib64" >> /etc/ld.so.conf.d/openssl11.conf
ldconfig
解释:
-
--prefix/--openssldir:把 1.1.x 安装到独立目录。 -
shared zlib:产出.so共享库并启用 zlib;便于后续服务动态链接。 -
-Wl,-rpath,...:写入运行时库搜索路径,减少设置LD_LIBRARY_PATH的需要。 -
make install_sw:只装软件与库,不安装文档,利于瘦身。 -
ldconfig:刷新系统动态库缓存,确保/usr/local/openssl11/lib*生效。
4)安全校验与临时切换
# 使用绝对路径调用新版本,不影响系统 openssl
/usr/local/openssl11/bin/openssl version -a
解释:验证输出应为 OpenSSL 1.1.1w(或你的具体小版本)。此时系统 /usr/bin/openssl 仍旧是 1.0.2k,系统组件安全稳定。
如需在当前会话临时优先使用 1.1.x:
export PATH=/usr/local/openssl11/bin:$PATH
export LD_LIBRARY_PATH=/usr/local/openssl11/lib64:/usr/local/openssl11/lib:${LD_LIBRARY_PATH}
openssl version
解释:仅当前 Shell 生效,适合单次调试/构建;不污染系统环境。
5)让某个服务(如 Nginx)优先用 1.1.x(两种方式)
方式A:进程级环境变量(最稳妥)
# 以 systemd 为例,给 Nginx 加独立环境
mkdir -p /etc/systemd/system/nginx.service.d
cat >/etc/systemd/system/nginx.service.d/openssl11.conf <<'EOF'
[Service]
Environment="LD_LIBRARY_PATH=/usr/local/openssl11/lib64:/usr/local/openssl11/lib"
Environment="PATH=/usr/local/openssl11/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin"
EOF
systemctl daemon-reload
systemctl restart nginx
解释:仅 Nginx 进程继承 1.1.x 库与二进制,不影响系统其他程序。
方式B:在应用构建阶段直连新库
# 例如构建你自己的程序时
export PKG_CONFIG_PATH=/usr/local/openssl11/lib64/pkgconfig:/usr/local/openssl11/lib/pkgconfig:$PKG_CONFIG_PATH
export CFLAGS="-I/usr/local/openssl11/include $CFLAGS"
export LDFLAGS="-L/usr/local/openssl11/lib64 -Wl,-rpath,/usr/local/openssl11/lib64 $LDFLAGS"
# 之后 ./configure 或 cmake 时会优先找到 openssl 1.1.x
解释:通过 pkg-config/CFLAGS/LDFLAGS 提前引导编译与链接,产物默认绑定 1.1.x。
6)回退策略(零风险)
# 恢复系统默认搜索路径(若你曾添加全局 PATH/LD_LIBRARY_PATH)
sed -n '1,999p' /etc/ld.so.conf.d/openssl11.conf
# 如需临时屏蔽 1.1.x 动态库,先注释/移除上面的两行后:
ldconfig
# systemd 定向环境取消(仅移除针对性 override)
rm -f /etc/systemd/system/nginx.service.d/openssl11.conf
systemctl daemon-reload
systemctl restart nginx
解释:删除 override 与库路径后,进程将回到系统 OpenSSL(1.0.2k),完全不影响 yum/ssh。
🧭 决策对比(并行 vs 覆盖)——给团队看的“风险表”
| 方案 | 升级触达范围 | 风险 | 适用场景 |
|---|---|---|---|
| 并行安装(推荐) | 仅指定应用使用 1.1.x | 低:不影响系统组件 | 生产环境、稳定优先 |
| 覆盖系统 OpenSSL | 全局 | 高:可能导致 yum/ssh/nginx 不可用 |
不建议,除非完全可回滚且充分验证 |
🧪 验证清单(最重要的 4 条)
-
/usr/local/openssl11/bin/openssl version -a输出 1.1.x ✅ -
ldd $(which nginx)/你的应用 → 指向/usr/local/openssl11/lib64/libssl.so.1.1✅ -
仅目标服务继承了
PATH/LD_LIBRARY_PATH✅ -
yum/ssh正常,系统openssl version仍为 1.0.2k ✅
🧠 原理小图(vditor/Markdown 支持)
flowchart LR
A[系统 OpenSSL 1.0.2k (/usr/bin/openssl, /usr/lib64)] --- 保留
B[并行安装 OpenSSL 1.1.x (/usr/local/openssl11)] --- 新增
subgraph 应用选择
C[服务/应用] -->|进程环境 PATH/LD_LIBRARY_PATH| B
C -->|默认环境| A
end
⚙️ 常见报错与处理
-
编译期报错“undefined reference/内联汇编不支持”:未启用 devtoolset 或版本过低 →
scl enable devtoolset-9 bash后重试。 -
运行期找不到
libssl.so.1.1:rpath未生效或未ldconfig→ 复核-Wl,-rpath与/etc/ld.so.conf.d/openssl11.conf。 -
Nginx 仍链接系统库:确认是否以 systemd override 注入了环境,或在构建阶段正确传了
PKG_CONFIG_PATH/LDFLAGS。
✅ 关键信息一眼记住
-
只做并行,不做覆盖:稳定第一。
-
进程级环境 控制谁用 1.1.x,谁继续用系统库。
-
工具链升级 是编译 1.1.x 的前提条件。
-
回退可逆,随时撤销不留坑。
需要我顺手给你的 Nginx/OpenSSL 1.1.x 做一套可复制的 systemd/Build 脚本模板,或者把某个现网服务精准切到 1.1.x,继续说业务约束和依赖,我直接把“最小可行改造包”梳出来。
火山引擎开发者社区是火山引擎打造的AI技术生态平台,聚焦Agent与大模型开发,提供豆包系列模型(图像/视频/视觉)、智能分析与会话工具,并配套评测集、动手实验室及行业案例库。社区通过技术沙龙、挑战赛等活动促进开发者成长,新用户可领50万Tokens权益,助力构建智能应用。
更多推荐
14
0- 0
已为社区贡献11条内容
所有评论(0)