我的书签
添加书签
移除书签通过 OpenSSL 3.0 使 APISIX 支持 FIPS 模式
目前,OpenSSL 3.0 支持了 FIPS 模式。为了在 APISIX 中支持 FIPS 模式,你应该使用 OpenSSL 3.0 来编译 apisix-runtime。
编译
如果你需要使用 OpenSSL 3.0 来编译 apisix-runtime,请以 root 用户角色来执行以下命令:
cd $(mktemp -d)OPENSSL3_PREFIX=${OPENSSL3_PREFIX-/usr/local}apt install -y build-essentialgit clone https://github.com/openssl/opensslcd openssl./Configure --prefix=$OPENSSL3_PREFIX/openssl-3.0 enable-fipsmake installecho $OPENSSL3_PREFIX/openssl-3.0/lib64 > /etc/ld.so.conf.d/openssl3.confldconfig$OPENSSL3_PREFIX/openssl-3.0/bin/openssl fipsinstall -out $OPENSSL3_PREFIX/openssl-3.0/ssl/fipsmodule.cnf -module $OPENSSL3_PREFIX/openssl-3.0/lib64/ossl-modules/fips.sosed -i 's@# .include fipsmodule.cnf@.include '"$OPENSSL3_PREFIX"'/openssl-3.0/ssl/fipsmodule.cnf@g; s/# \(fips = fips_sect\)/\1\nbase = base_sect\n\n[base_sect]\nactivate=1\n/g' $OPENSSL3_PREFIX/openssl-3.0/ssl/openssl.cnfcd ..export cc_opt="-I$OPENSSL3_PREFIX/openssl-3.0/include"export ld_opt="-L$OPENSSL3_PREFIX/openssl-3.0/lib64 -Wl,-rpath,$OPENSSL3_PREFIX/openssl-3.0/lib64"wget --no-check-certificate https://raw.githubusercontent.com/api7/apisix-build-tools/master/build-apisix-runtime.shchmod +x build-apisix-runtime.sh./build-apisix-runtime.sh
apisix-runtime 将安装在 /usr/local/openresty。
