在 Ubuntu 上使用 FIPS (noec2m) 模式构建 OpenSSL

Question

我正在尝试按照OpenSSL Wiki 中的大纲构建符合 FIPS 140-2 的 Ubuntu 服务器，但我在相当早的阶段遇到了挫折。

我有一个新的虚拟 Ubuntu 14.04.5 服务器，默认的 OpenSSH 服务器正在运行（这样我就有远程 SSH 连接到系统），然后下载了 OpenSSL FIPS 对象模型 (openssl-fips-2.0.14. tar.gz) 和 OpenSSL (openssl-1.1.0e.tar.gz)。

编译 FIPS 方面的事情似乎很简单：

1. ./config
2. 制作
3. 进行安装

但是，在编译 OpenSSL 时，我遇到了问题

1. ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl -Wl,--enable-new-dtags,-rpath,'$(LIBRPATH)' 共享fips -- with-fipslibdir=/usr/local/ssl/fips-2.0/lib/

2. 制作

   crypto/err/err_all.c:35:27: fatal error: openssl/fips.h: No such file or directory
   # include <openssl/fips.h>
                         ^
   compilation terminated.
   make[1]: *** [crypto/err/err_all.o] Error 1
   make[1]: Leaving directory `/home/user/openssl-1.1.0e'
   make: *** [all] Error 2
   

来自this SO post，作者表示他通过正确设置 ./config 文件的附加参数（即“--openssldir”）克服了这个丢失的 fips.h 文件，但我尝试同时使用这两个参数“/ home/user/openssl-1.1.0e”以及现有的“/usr/lib/ssl”（使用“openssl version -d”获得）但都无济于事。

在我的系统上执行“find / -name fips.h”只会在几个地方显示该文件，我尝试将所有这些都与“--openssldir”参数一起使用，但还是没有运气...

1. /usr/src/linux-headers-4.4.0-31/include/linux/fips.h
2. /usr/local/ssl/fips-2.0/include/openssl/fips.h

谁能提供任何关于我在这里做错了什么的见解？

Answer 1

好的，所以这里最大的问题是我使用的是 OpenSSL-1.1.0e 而不是 OpenSSL-1.0.x 版本。您必须使用 1.0.x 才能使用 FIPS 模型。除此之外，按照上面链接的 SO 文章对我有用