OpenSSL配置文件

语法

1. 包含其它文件

   “`openssl cnf
   .include [=] pathname # 相对路径
   .pragma [=] abspath:value # 绝对路径
   .pragma [=] dollarid:value # 路径包含变量
   “`
   注释使用`#`

2. section

   一个配置文件包含若干个section,一个section由用方括号包围的secton name开始,直到另一个section结束。section name和方括号之间的空白符会被忽略。
   环境变量会映射到ENV section。
   如下所示：

   “`openssl cnf
   [ section ]
   name1 = This is value1
   name2 = Another value
   …
   [ newsection ]
   name1 = New value1
   name3 = Value 3

   <pre><code class="line-numbers">从文件开始到第一个section出现之前的配置属于default section，default section是OpenSSL首先读取的section。
   在一个section不允许出现重复的字段名，后面的值会覆盖前面的值，但是有时候又需要配置重复的字段，所以当需要一个字段多次配置时需要加前缀。
   如下所示：
   “`openssl cnf
   1.OU = First OU
   2.OU = Second OU
   

   “.”及前面的数字会被忽略,把这些字段当成相同的字段。
   value在”=”号后面直到行尾，两边的空白符会被移除
   通过$var or ${var}可以引用当前section中的变量，通过$section::name or ${section::name}可以引用其它section的变量,通过$ENV::name引用环境变量。
   如果一个value超过64k会报错，value可以使用单/双引号包围，可以使用转义字符，如查多行字符则以\结尾。

模块配置

“`openssl cnf
config_diagnostics = 1
openssl_conf = openssl_init

[openssl_init]
oid_section = oids
providers = providers
alg_section = evp_properties
ssl_conf = ssl_configuration
engines = engines
random = random

[oids]
shortName = a very long OID name, 1.2.3.4
newoid1 = 1.2.3.4.1
some_other_oid = 1.2.3.5

[providers]
… provider stuff here …

[evp_properties]
… EVP properties here …

[ssl_configuration]
… SSL/TLS configuration properties here …

[engines]
… engine properties here …

[random]
… random properties here …

<pre><code class="line-numbers">openssl_init section中指定了每个模块对应的section。
oids section是用来新增自己的oid的，由两种语法

– 包含长名称

shortName = a very long OID name, 1.2.3.4

– 不包含长名称

newoid1 = 1.2.3.4.1
some_other_oid = 1.2.3.5
字段的名称就是oid的短名称，长名称是可选的

## Provider 配置

Openssl3.0引入了Provider的概念，把一组算法独立出来放在一个模块中称为一个Provider。对Provider使用动态加载，使算法的实现独立于Openssl本身。

</code></pre>

[providers]
foo = foo_provider # providers列表

[foo_provider]
identity = my_fips_module # 备用名
module = /var/lib/openssl/module1.so # 模块位置
activate = yes # 是否激活

<h3>EVP 配置</h3>

用于指定EVP算法的默认属性

“`openssl cnf
[evp_properties]
default_properties = fips=yes

## SSL 配置

[ssl_configuration]
server = server_tls_config
client = client_tls_config
system_default = tls_system_default

[server_tls_config]
… configuration for SSL/TLS servers …

[client_tls_config]
… configuration for SSL/TLS clients …

[tls_system_default]
MinProtocol = TLSv1.2
MinProtocol = DTLSv1.2

initialization section中的ssl_conf配置指定TLS模块的配置，其它每个配置项都指向另一个section name。
system_default配置有特殊含义，如果存在的话，指示系统范围内的最低TLS/DTLS版本。同样也可以指定MaxProtocol限定最大版本。

## Engine 配置

硬件加速器的配置

[engines]
foo = foo_engine

[foo_engine]
dynamic_path = /some/path/fooengine.so
init = 1 # 指定0不初始化，指定1立即初始化，不指定则在所有其它命令处理完后初始化
some_ctrl = some_value
default_algorithms = ALL # 应用的默认算法集合
other_ctrl = EMPTY

“`

<h2>Random 配置</h2>

配置随机数生成器的参数

<ul>
<li>random 指定随机数生成器

“`openssl cnf
[random]
random = CTR-DRBG # 支持CTR-DRBG，HASH-DRBG，HMAC-DRBG
“`

cipher

指定生成器的算法，默认值是AES-256-CTR

digest

指定随机数的摘要算法，HASH-DRBG or HMAC-DRBG

properties

指定底层算法的属性

seed

使用的随机数来源，默认为SEED-SRC，表示使用FIPS provider。

seed_properties

随机数源的属性

环境变量

• OPENSSL_CONF

  配置文件的路径

• OPENSSL_ENGINES

  ENGINES的路径，ENGINE是对硬件加速器的封装。

• OPENSSL_MODULES

  指定openssl模块的路径，也就是provider

• OPENSSL_CONF_INCLUDE

  指定include时的目录前缀

以上配置是OpenSSL主命令的配置，具体命令的配置还要参考具体命令下的说明。通常子命令的名字就是section的名字。

openssl version -d命令可以显示默认openssl.cnf文件的位置,这是默认的配置文件。很多命令会通过-config选项指定配置文件读取部分或全部配置参数。可以通过OPENSSL_CONF环境变量指定不同的默认配置文件或者禁用配置文件(环境变量指定空字符串)

Views: 3