确定OpenSSL版本和配置的方法

OpenSSL是一个开源项目，包括密码库和SSL/TLS工具集。那么，如何确定OpenSSL版本和OpenSSL配置呢？下面是我在Ubum12.04 LTS上面运行openssl vesion获得的版本信息，后面所有的演示都是基于这个环境:

$ openssl vesion

OpenSSL 1.0.1 14 Mar 2012

OpenSSL1.0.1最大的意义在于它是第一个同时支持TLS1.1和TLS1.2的版本。总体来说，支持新协议是大趋势，所以我们还要经历一段新老协议不互通的过程。

注意：不同的操作系统经常会修改 OpenSSL的代码，主要是修复一些已知漏洞。然而项目的名称和版本号经常保持原样，也没有任何迹象表明代码其实是原项目的一个分支，一些行为已经变化了。例如现在使用的 Ubuntu 12.04 LTS的 OpenSSL是基于1.0.lc版本，全名是 openssl 1.0.1-4ubuntu5.16包含了很多已知问题的补丁。

确定OpenSSL版本方法：

可以使用-a开关获取完整的OpenSSL版本信息：

$ openssl version -a

OpenSSL 1.0.1 14 Mar 201

built on: Fri Jun 20 18: 54: 15 UTC 2014

platform: debian-amd64

options：bn(64,64) rc4(8x,int) des(idc,cisc,16,int) blowfish(idx)

compiler: cc-fPIC -DOPENSSL PIC-DZLIB-DOPENSSL THREADS -D_REENTRANT-DDSO_DLFCN

-DHAVE DLFCN H-m64-DL ENDIAN-DTERMIO-g-02-fstack-protector

–param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D

_FORTIFY SOURCE-2 -W1, -Bsymbolic-functions -Wl, -z,relro -Wa,–noexecstack -Wall

-DOPENSSL_NO_TLS1_2_CLIENT-DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int

-DOPENSSL IA32 SSE2-DOPENSSL BN ASM MONT-DOPENSSL BN ASM MONT5-DOPENSSL BN ASM

_GF2m-DSHA1_ASM-DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM-DVPAES_ASM -DBSAES

_ASM-DWHIRLPOOL_ASM-DGHASH_ASM

OPENSSLDIR:”/usr/lib/ssl”

上面最后一行的输出(/usr/1ib/ss1)是OpenSSL默认情况下查找配置和证书的目录。在我

的系统里，该位置是/etc/ssl的别名(也就是软链接)， Ubuntu会在其中保存与TLS相关的文件:

lrwxrwxrwx 1 root root 14 Apr 19 09: 28 certs ->/etc/ssl/certs

drwxr-xI-X 2 root root 4096 May 28 06: 04 misc

lrwxrwxrwx 1 root root 20 May 22 17: 07 opensslcnf ->/etc/ssl/opens

lrwxrwxrwX 1 root root 16 Apr 19 09: 28 private ->/etc/ssl/private Sslcnf

misc/目录包含一些补充脚本，其中最有用的脚本允许你实现一个私有的证书颁发机构。