OpenSSL 1.0.2k-fips 업그레이드

Apache 2.2.34에서 사용 중인 OpenSSL의 openssl-0.9.8e 버전을 OpenSSL 1.0.2k-fips로 업그레이드하려면 몇 가지 단계를 거쳐야 합니다. 여기에는 OpenSSL 소스 코드를 다운로드하고, 컴파일하여 설치한 다음, Apache와 연동하는 과정이 포함됩니다. 이러한 과정은 시스템에 직접적인 변경을 가하므로, 백업과 테스트를 신중히 수행하는 것이 중요합니다.

1단계: 필요한 패키지 설치

컴파일에 필요한 패키지들을 먼저 설치합니다. 대부분의 Linux 배포판에서는 다음과 같은 패키지들이 필요합니다

# 설치에 필요한 패키지 설치 
$ yum install gcc gcc-c++ pcre-devel zlib-devel perl wget

(위 명령은 Debian 기반 시스템을 예로 들고 있습니다. CentOS와 같은 RPM 기반 시스템에서는 yum을 사용하여 동등한 개발 도구를 설치해야 합니다.)

 

2단계: OpenSSL 1.0.2k-fips 다운로드 및 설치

1. OpenSSL 다운로드

wget https://www.openssl.org/source/old/1.0.2/openssl-1.0.2k.tar.gz
tar -xzvf openssl-1.0.2k.tar.gz
cd openssl-1.0.2k

2. OpenSSL 컴파일 및 설치:

./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
make
make install

 

3단계: 시스템 설정 업데이트

새로 설치된 OpenSSL 버전을 시스템에서 인식하도록 환경 설정을 업데이트합니다:

echo "/usr/local/ssl/lib" | sudo tee /etc/ld.so.conf.d/openssl-1.0.2k.conf sudo ldconfig

 

4단계: Apache와 OpenSSL 연동

ㅇ Apache 재구성:

• Apache가 새로운 OpenSSL 라이브러리를 사용하도록 해야 합니다. 이를 위해 Apache를 다시 컴파일하거나, 적어도 mod_ssl 모듈을 새 OpenSSL에 링크하여 재구성해야 할 수 있습니다.

ㅇ Apache 설정 파일 수정:

• 필요한 경우, Apache의 SSL 관련 설정을 확인하고 수정합니다. 예를 들어, SSLProtocol, SSLCipherSuite 등의 지시어를 적절히 조정해야 할 수 있습니다.

5단계: Apache 재시작

변경 사항을 적용하기 위해 Apache 서버를 재시작합니다:

apache2ctl restart

주의사항

• 백업: 중요한 설정 파일과 데이터는 변경 전에 반드시 백업하세요.
• 호환성 검사: Apache와 PHP 등의 기타 모듈이 새 OpenSSL 버전과 호환되는지 확인하세요.
• 보안 검토: OpenSSL 1.0.2k 역시 지원이 종료된 버전입니다. 가능하다면, 지원이 계속되는 최신 버전으로의 업그레이드를 고려해야 합니다.

이러한 단계를 통해 시스템의 OpenSSL 버전을 업그레이드할 수 있습니다. 시스템에 따라 경로나 명령어가 약간 다를 수 있으니 주의하여 적용하시기 바랍니다.