curl-7.51.0 & openssl-1.0.2j/CentOS5에 설치

curl-7.51.0 & openssl-1.0.2j/CentOS5에 설치

2022-10-04 last update

5 minutes reading openssl curl

동기



암호화 방식:ECDHE-RSA-AES256-SHA384 등에 대응한 HTTPS 서버에 대해서 cipher를 지정해 curl을 두드리면 OS가 낡았다(CentOS release 5.11 (Final)) 때문에 움직이지 않았습니다.
$ curl -V
curl 7.15.5 (x86_64-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5
Protocols: tftp ftp telnet dict ldap http file https ftps 
Features: GSS-Negotiate IDN IPv6 Largefile NTLM SSL libz 
$ curl -v -L --ciphers ECDHE-RSA-AES256-SHA384 <URL>
* About to connect() to <domain>(<ipaddr>) port 443
*   Trying <ipaddr>... connected
* Connected to <domain> port 443
* failed setting cipher list
* Closing connection #0
curl: (59) failed setting cipher list

라고 할까 OpenSSL의 이용 가능한 ciphers에는 원래 ECDHE계가 없습니다…
$ /usr/bin/openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
$ /usr/bin/openssl  ciphers -v | grep ECDHE | wc -l
0

제반의 사정에 의해 OS의 버전 업을 위한 재설치는 불가. 이 때문에 tarball에서 컴파일 해 주기로 했습니다.

컴파일 절차



OpenSSL을 make하고 install ⇒ curl을 make하고 install합니다.

주의할 점으로서 최근의 OpenSSL에서는 디폴트로 보안의 관점에서 SSL2에 대응하고 있지 않는 한편, 이것을 유효하게 하지 않으면 curl을 컴파일 할 수 없습니다.
참조 : htps //w w. 오뎅 sl. rg / 네 ws / 오펜 sl - 1.0.2 - s. HTML
Major changes between OpenSSL 1.0.2f and OpenSSL 1.0.2g [1 Mar 2016]

Disable SSLv2 default build, default negotiation and weak ciphers (CVE-2016-0800)

아무것도 옵션을 지정하지 않고 컴파일, 설치한 OpenSSL을 이용하면 curl의 make시에 다음과 같은 에러를 토합니다.
../lib/.libs/libcurl.so: undefined reference to `SSLv2_client_method’ 

OpenSSL-1.0.2j 설치



그래서 OpenSSL을 tarball에서 설치합니다.
$ tar xzvf openssl-1.0.2j.tar.gz 
$ cd openssl-1.0.2j/
$ ./config shared enable-ssl2 enable-ssl3 --prefix=<prefixdir> --openssldir=<prefixdir>
$ make depend
$ make
$ make install

curl-7.51.0 설치



계속해서 curl을 설치합니다. --with-ssl로 이전에 설치한 openssl의 lib를 지정합니다.
$ tar xzvf curl-7.51.0.tar.bz2 
$ cd curl-7.51.0/
$ ./configure  --enable-libcurl-option --with-ssl=<opensslのdir> --prefix=<curlのprefixdir>
$ make
$ make install

할 수 있었다



안전한 OpenSSL이 1.0.2j되었습니다.
$ LD_LIBRARY_PATH=<openssl_libdir> <compiled_curl_dir>/curl -V
curl 7.51.0 (x86_64-pc-linux-gnu) libcurl/7.51.0 OpenSSL/1.0.2j zlib/1.2.3
Protocols: dict file ftp ftps gopher http https imap imaps pop3 pop3s rtsp smb smbs smtp smtps telnet tftp 
Features: Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets 

OpenSSL 자체도 ECDHE계가 이용 가능하게 되었습니다.
# <compiled_openssl_dir>/bin/openssl  ciphers -v | grep ECDHE
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1

그리고 안전하게 연결할 수있었습니다.
$ LD_LIBRARY_PATH=<openssl_libdir> <compiled_curl_dir>/curl -v -L --ciphers ECDHE-RSA-AES256-SHA384 https://<domain>/
*   Trying <ipaddr>...
* TCP_NODELAY set
* Connected to <domain> (<ipaddr>) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ECDHE-RSA-AES256-SHA384
* successfully set certificate verify locations:
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
...
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: <domain>
> User-Agent: curl/7.51.0
> Accept: */*
> 
< HTTP/1.1 200 OK
...

이상