当サーバ（CentOS7）のApacheとOpenSSLを最新安定板にアップデート

◆最新安定バージョン

OpenSSLの最新バージョンは2024.1.30にリリースされています。
前回アップデート「CentOS7のApacheとOpenSSLのアップデート」した3.1シリーズも3.1.5がありますが、サポート期間が2025.3.14までであり、より期間が2025.11.23までと長い3.2.1にアップデートします。

Apache：2.4.57 ⇒ 2.4.58
OpenSSL：3.1.2 ⇒ 3.2.1

※環境によって、影響を受ける可能性のあるアプリケーションやサービスがあるため、実施に当たっては互換性等を確認の上、自己責任でお願いします。

◆OpenSSLのバージョンアップ

・OpenSSLの最新バージョンのダウンロードとインストール

最新バージョンを確認し、ダウンロードとインストールを実施します。

# wget https://www.openssl.org/source/openssl-3.2.1.tar.gz
# tar zxvf openssl-3.2.1.tar.gz
# cd openssl-3.2.1/
# ./Configure --prefix=/usr/local/openssl --openssldir=/usr/local/openssl
# make
# make install

1行目：最新安定バージョン3.2.1（2024.2.18現在）のダウンロード
2行目：ダウンロードファイルの展開
3行目：展開ディレクトリへ移動
4行目：configureの実行
5行目：コンパイル
6行目：インストール

・インストールディレクトリの確認

# ll /usr/local/openssl
合計 68
drwxr-xr-x 2 root root  4096  2月 18 18:31 bin
drwxr-xr-x 2 root root  4096  6月 18  2023 certs
-rw-r--r-- 1 root root   412  6月 18  2023 ct_log_list.cnf
-rw-r--r-- 1 root root   412  2月 18 18:31 ct_log_list.cnf.dist
drwxr-xr-x 3 root root  4096  6月 18  2023 include
drwxr-xr-x 5 root root  4096  2月 18 18:31 lib64
drwxr-xr-x 4 root root  4096  6月 18  2023 lib_1.1_org
drwxr-xr-x 2 root root  4096  2月 18 18:31 misc
-rw-r--r-- 1 root root 10909  6月 18  2023 openssl.cnf
-rw-r--r-- 1 root root 12328  2月 18 18:31 openssl.cnf.dist
drwxr-xr-x 2 root root  4096  6月 18  2023 private
drwxr-xr-x 4 root root  4096  6月 18  2023 share

1行目：インストールしたディレクトリの確認
8行目：バージョン3.1.2のライブラリディレクトリ
9行目：前回アップデート時にリネームしたバージョン1.1.1uのライブラリディレクトリ

# ll /usr/local/openssl/lib64/
合計 18096
drwxr-xr-x 2 root root    4096  2月 18 18:31 engines-3
-rw-r--r-- 1 root root 9984474  2月 18 18:31 libcrypto.a
lrwxrwxrwx 1 root root      14  2月 18 18:31 libcrypto.so -> libcrypto.so.3
-rwxr-xr-x 1 root root 5540744  2月 18 18:31 libcrypto.so.3
-rw-r--r-- 1 root root 1830488  2月 18 18:31 libssl.a
lrwxrwxrwx 1 root root      11  2月 18 18:31 libssl.so -> libssl.so.3
-rwxr-xr-x 1 root root 1121304  2月 18 18:31 libssl.so.3
drwxr-xr-x 2 root root    4096  2月 18 18:31 ossl-modules
drwxr-xr-x 2 root root    4096  8月  6  2023 pkgconfig

1行目：ライブラリディレクトリの確認

・バージョンの確認

# openssl version
OpenSSL 3.2.1 30 Jan 2024 (Library: OpenSSL 3.2.1 30 Jan 2024)

1行目：インストールしたOpenSSLのバージョン確認
2行目：バージョン「3.2.1」を表示

◆Apacheのアップデート

過去記事「CentOS7のTLS1.3対応とApacheへの適用」で実施した要領と同様に「mod_ssl」モジュールのみ入れ替えます。

・「mod_ssl」モジュールのリネーム

# mv /etc/httpd/modules/mod_ssl.so /etc/httpd/modules/mod_ssl.so_3.1_org

1行目：バージョン3.1.2の「mod_ssl」モジュールをリネームしてバックアップ
※Apacheをアップデートした際に上書きされてしまいます。

モジュールに変更がなければ、ここでバックアップした「mod_ssl」モジュールをApacheのyumアップデート後にコピーやリネームすることで以降の作業はいらないかもしれません。

・Apacheのパッケージのダウンロードとビルド

# wget https://dlcdn.apache.org/httpd/httpd-2.4.58.tar.gz
# tar zxvf httpd-2.4.58.tar.gz
# cd httpd-2.4.58/
# ./configure --with-ssl=/usr/local/openssl
# make

1行目：Apacheのソースファイルをダウンロード
2行目：ダウンロードファイルの展開
3行目：展開ディレクトリへ移動
4行目：configureの実行。「–with-ssl」オプションでOpenSSLのインストールディレクトリを指定
5行目：コンパイル

「mod_ssl」モジュールだけ必要なので、「make install」は実行しません。

・「mod_ssl」モジュールの確認

# readelf -d modules/ssl/.libs/mod_ssl.so

Dynamic section at offset 0x4dd48 contains 29 entries:
 タグ        タイプ                       名前/値
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libssl.so.3]
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libcrypto.so.3]
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libpthread.so.0]
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libdl.so.2]
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libc.so.6]
 0x000000000000000e (SONAME)             ライブラリの soname: [mod_ssl.so]

1行目：「readelf」コマンドで「mod_ssl」のヘッダ情報を確認
5,6行目：共有ライブラリのバージョンがインストールしたOpenSSLのバージョン（3）になっているのを確認

・Apacheのyumアップデート

過去記事「CentOS7のApache最新版アップデート」で実施したIUSリポジトリを使用し、アップデートします。

# yum update --enablerepo=ius httpd

1行目：IUSリポジトリを有効にしてyumでアップデート

・バージョンの確認

# httpd -v
Server version: Apache/2.4.58 (IUS)
Server built:   Oct 26 2023 16:56:39

1行目：Apacheのバージョンの確認
2行目：バージョン「2.4.58」を表示

・「mod_ssl」モジュールの確認

アップデートでインストールされた「mod_ssl」を確認してみます。

# readelf -d /etc/httpd/modules/mod_ssl.so

Dynamic section at offset 0x39ce0 contains 31 entries:
 タグ        タイプ                       名前/値
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libssl.so.10]
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libcrypto.so.10]
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libpthread.so.0]
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libdl.so.2]
 0x0000000000000001 (NEEDED)             共有ライブラリ: [libc.so.6]
 0x000000000000000e (SONAME)             ライブラリの soname: [mod_ssl.so]

1行目：「readelf」コマンドで「mod_ssl」のヘッダ情報を確認
5,6行目：共有ライブラリのバージョンがCentOS7のyumインストールされるOpenSSLのバージョンが1.0シリーズのため（10）になっている

・「mod_ssl」モジュールの設置

# mv /etc/httpd/modules/mod_ssl.so /etc/httpd/modules/mod_ssl.so_org
# cp modules/ssl/.libs/mod_ssl.so /etc/httpd/modules/

1行目：「mod_ssl」モジュールのバックアップ
2行目：新しい「mod_ssl」モジュールをコピーして設置

・「mod_ssl」モジュールのディレクトリ確認

# ll /etc/httpd/modules/mod_ssl.so*
-rwxr-xr-x 1 root root 376552  2月 18 20:09 /etc/httpd/modules/mod_ssl.so
-rwxr-xr-x 1 root root 248600  4月  7  2023 /etc/httpd/modules/mod_ssl.so_1.1_org
-rwxr-xr-x 1 root root 376552  8月  6  2023 /etc/httpd/modules/mod_ssl.so_3.1_org
-rwxr-xr-x 1 root root 248632 10月 27 01:57 /etc/httpd/modules/mod_ssl.so_org

1行目：「mod_ssl.so*」でバックアップしたモジュールを含めて確認

・「httpd」サービスの再起動と確認

# systemctl restart httpd
# systemctl status httpd

1行目：サービスの再起動
2行目：サービスの状態確認

◆確認

前回更新時に同様の確認をしているので、詳細はこちらを参照してください。

・TLS checker

「TLS checker」でTLS/SSL設定を確認できます。

・SSL Labs

「SSL Labs」では、Webサーバの構成情報を詳細に分析できます。

・ブラウザ（Chrome）での確認

「デベロッパーツール」で「TLSプロトコルバージョン」と「暗号化スイート」を確認できます。

最近、よくサーバがフリーズするのでこの更新で改善されないかなぁ…
次は、PHPのバージョンアップかな