Au-delà de Linux® From Scratch - Version svn-20120120

Chapitre 4. Sécurité

OpenSSL-1.0.0e

Introduction à OpenSSL

Le paquet OpenSSL contient des outils et des bibliothèques de gestion en matière de chiffrement. Elles sont utiles pour fournir des fonctions de cryptographie à d'autres paquets, en particulier OpenSSH, des applications de messagerie électronique et des navigateurs Internet (pour accéder à des sites commençant par HTTPS).

Ce paquet est connu pour se construire et fonctionner correctement sur une plateforme LFS-7.0.

Informations sur le paquet

Téléchargements supplémentaires

Dépendances d'OpenSSL

Facultatives

MIT Kerberos V5-1.6 or Heimdal-1.4, et bc-1.06.95 (requis pour une total protection de la suite de tests pendant la construction)

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/OpenSSL

Installation de OpenSSL

Installez OpenSSL en lançant les commandes suivantes : 

patch -Np1 -i ../openssl-1.0.0e-fix_manpages-1.patch &&

./config --prefix=/usr         \
         --openssldir=/etc/ssl \
         shared                \
         zlib-dynamic          &&
make

Pour tester les résultats, lancez : make test.

Maintenant, en tant qu'utilisateur root : 

make MANDIR=/usr/share/man install                &&

install -v -d -m755 /usr/share/doc/openssl-1.0.0e &&
cp      -v -r       doc/{HOWTO,README,*.{txt,html,gif}} \
                    /usr/share/doc/openssl-1.0.0e

Explication des commandes

shared : Ce paramètre oblige la création des bibliothèques partagées ainsi que des bibliothèques statiques.

zlib-dynamic : Ce paramètre ajoute une fonction de compression/décompression en utilisant la bibliothèque libz.

no-rc5 no-idea : Ajouté à la commande ./config, cela éliminera la construction de ces méthodes de chiffrement. Il se peut que des licences d'autorisation soient nécessaires pour que vous utilisiez une de ces méthodes dans vos projets.

make MANDIR=/usr/share/man install : Cette commande installe OpenSSL avec les pages de man dans /usr/share/man et non dans /etc/ssl/man.

Configuration d'OpenSSL

Fichiers de configuration

/etc/ssl/openssl.cnf

Informations de configuration

La plupart utilisateurs voudront installer les certificats de l'Autorité des certificats pour valider les certificats téléchargés. Par exemple, ces certificats sont utilisés par Firefox-9.0.1 ou Wget-1.13.4 lors de l'accès [ des sites sécurisés (protocole https). Pour faire cela, suivez les instructions de la page Certificate Authority Certificates.

Les utilisateurs qui veulent simplement utiliser OpenSSL pour offrir les fonctions à d'autres programmes tels que OpenSSH et des navigateurs Internet n'ont pas besoin de s'inquiéter de faire une configuration supplémentaire. C'est un sujet avancé et ceux qui en ont vraiment besoin devraient, en principe, soit savoir comment mettre à jour correctement /etc/ssl/openssl.cnf, soit être en mesure de trouver la manière de le faire.

Contenu

Programmes installés: c_rehash et openssl
Bibliothèques installées: libcrypto.{so,a}, libssl.{so,a}, et additional encryption libraries in /usr/lib/engines/ (lib4758cca.so, libaep.so, libatalla.so, libcapi.so, libchil.so, libcswift.so, libgmp.so, libgost.so, libnuron.so, libpadlock.so, libsureware.so, et libubsec.so)
Répertoires installés: /etc/ssl, /usr/include/openssl, /usr/lib/engines et /usr/share/doc/openssl-1.0.0e

Descriptions courtes

c_rehash

est un script Perl qui analyse tous les fichiers d'un répertoire et qui ajoute des liens symboliques à leurs valeurs hachées.

openssl

est un outil en ligne de commande permettant d'utiliser diverses fonctions de la bibliothèque de chiffrement d'OpenSSL depuis le shell. On peut l'utiliser pour diverses fonctions qui sont documentées dans man 1 openssl.

libcrypto.{so,a}

implémente une grande variété d'algorithmes de chiffrement utilisés dans divers standards Internet. Les services offerts par cette bibliothèque sont utilisés par des implémentations OpenSSL de SSL, de TLS et de S/MIME, et on les utilise aussi pour implémenter OpenSSH, OpenPGP, et d'autres standards de chiffrement.

libssl.{so,a}

implémente le protocoles Secure Sockets Layer (SSL v2/v3) et Transport Layer Security (TLS v1). Elle offre une API riche, sur laquelle vous pouvez trouver de la documentation en lançant man 3 ssl.

Last updated on 2011-10-22 00:20:11 +0200