openssl配置文件ubuntu怎么编辑

Ubuntu 下编辑 OpenSSL 配置文件的实用步骤

一 定位配置文件

• 常见主配置文件路径为：/etc/ssl/openssl.cnf。若该路径不存在，可在系统中搜索：
  • 命令：sudo find /etc -name openssl.cnf
• 某些系统或安装方式也可能使用：/usr/local/ssl/openssl.cnf
• 建议先确认 OpenSSL 版本与安装信息：openssl version -a、dpkg -l | grep openssl。

二 备份与编辑

• 备份当前配置（强烈建议）：
  • 命令：sudo cp /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.bak_$(date +%F)
• 使用文本编辑器打开并修改（需要管理员权限）：
  • 命令：sudo nano /etc/ssl/openssl.cnf 或 sudo vim /etc/ssl/openssl.cnf
• 修改完成后保存退出；多数 OpenSSL 操作会读取该文件中的默认项（如证书请求、消息摘要算法等）。

三 常见修改与安全建议

• 设置默认消息摘要算法（推荐 SHA-256）：
  • 在全局或 [ req ] 段设置：default_md = sha256
• 调整 SSL/TLS 安全级别与密码套件（示例为较安全的现代套件）：
  • 在 [system_default_sect] 或相应 SSL 段设置：
    • CipherString = DEFAULT:@SECLEVEL=2
    • 或明确指定套件：CipherString = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
• 生成自签名证书时显式指定配置（确保使用新策略）：
  • 命令：sudo openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -config /etc/ssl/openssl.cnf
• 修改完成后，使用 sslscan 或 openssl s_client 做连通性与套件验证，再应用到生产环境。

四 验证与应用

• 验证配置是否生效与套件是否符合预期：
  • 扫描服务器套件：sudo apt-get install sslscan && sslscan your_domain.com
  • 连接测试：openssl s_client -connect your_domain.com:443 -servername your_domain.com
• 若要让 Nginx/Apache 使用新证书与策略，修改其站点配置中的证书路径与 SSL 参数后重启服务：
  • Nginx：sudo systemctl restart nginx
  • Apache：sudo systemctl restart apache2
• 注意：OpenSSL 作为库被众多程序使用，通常不需要“重启 openssl 服务”；重启依赖 OpenSSL 的服务即可。