Move to REF_DEBUG, for consistency.
[openssl.git] / INSTALL
1
2  INSTALLATION ON THE UNIX PLATFORM
3  ---------------------------------
4
5  [Installation on DOS (with djgpp), Windows, OpenVMS, MacOS (before MacOS X)
6   and NetWare is described in INSTALL.DJGPP, INSTALL.WIN, INSTALL.VMS,
7   INSTALL.MacOS and INSTALL.NW.
8   
9   This document describes installation on operating systems in the Unix
10   family.]
11
12  To install OpenSSL, you will need:
13
14   * make
15   * Perl 5 with core modules (please read README.PERL)
16   * The perl module Text::Template (please read README.PERL)
17   * an ANSI C compiler
18   * a development environment in form of development libraries and C
19     header files
20   * a supported Unix operating system
21
22  Quick Start
23  -----------
24
25  If you want to just get on with it, do:
26
27   $ ./config
28   $ make
29   $ make test
30   $ make install
31
32  [If any of these steps fails, see section Installation in Detail below.]
33
34  This will build and install OpenSSL in the default location, which is (for
35  historical reasons) /usr/local/ssl. If you want to install it anywhere else,
36  run config like this:
37
38   $ ./config --prefix=/usr/local --openssldir=/usr/local/openssl
39
40
41  Configuration Options
42  ---------------------
43
44  There are several options to ./config (or ./Configure) to customize
45  the build:
46
47   --prefix=DIR  Install in DIR/bin, DIR/lib, DIR/include/openssl.
48                 Configuration files used by OpenSSL will be in DIR/ssl
49                 or the directory specified by --openssldir.
50
51   --openssldir=DIR Directory for OpenSSL files. If no prefix is specified,
52                 the library files and binaries are also installed there.
53
54   no-autoalginit Don't automatically load all supported ciphers and digests.
55                 Typically OpenSSL will make available all of its supported
56                 ciphers and digests. For a statically linked application this
57                 may be undesirable if small executable size is an objective.
58                 This only affects libcrypto. Ciphers and digests will have to be
59                 loaded manually using EVP_add_cipher() and EVP_add_digest() if
60                 this option is used.
61
62   no-autoerrinit Don't automatically load all libcrypto/libssl error strings.
63                 Typically OpenSSL will automatically load human readable error
64                 strings. For a statically linked application this may be
65                 undesirable if small executable size is an objective.
66
67   no-threads    Don't try to build with support for multi-threaded
68                 applications.
69
70   threads       Build with support for multi-threaded applications.
71                 This will usually require additional system-dependent options!
72                 See "Note on multi-threading" below.
73
74   no-zlib       Don't try to build with support for zlib compression and
75                 decompression.
76
77   zlib          Build with support for zlib compression/decompression.
78
79   zlib-dynamic  Like "zlib", but has OpenSSL load the zlib library dynamically
80                 when needed.  This is only supported on systems where loading
81                 of shared libraries is supported.  This is the default choice.
82
83   no-shared     Don't try to create shared libraries.
84
85   shared        In addition to the usual static libraries, create shared
86                 libraries on platforms where it's supported.  See "Note on
87                 shared libraries" below.
88
89   no-asm        Do not use assembler code.
90
91   386           Use the 80386 instruction set only (the default x86 code is
92                 more efficient, but requires at least a 486). Note: Use
93                 compiler flags for any other CPU specific configuration,
94                 e.g. "-m32" to build x86 code on an x64 system.
95
96   no-sse2       Exclude SSE2 code pathes. Normally SSE2 extension is
97                 detected at run-time, but the decision whether or not the
98                 machine code will be executed is taken solely on CPU
99                 capability vector. This means that if you happen to run OS
100                 kernel which does not support SSE2 extension on Intel P4
101                 processor, then your application might be exposed to
102                 "illegal instruction" exception. There might be a way
103                 to enable support in kernel, e.g. FreeBSD kernel can be
104                 compiled with CPU_ENABLE_SSE, and there is a way to
105                 disengage SSE2 code pathes upon application start-up,
106                 but if you aim for wider "audience" running such kernel,
107                 consider no-sse2. Both 386 and no-asm options above imply
108                 no-sse2.
109
110   no-<cipher>   Build without the specified cipher (bf, cast, des, dh, dsa,
111                 hmac, md2, md5, mdc2, rc2, rc4, rc5, rsa, sha).
112                 The crypto/<cipher> directory can be removed after running
113                 "make depend".
114
115   -Dxxx, -lxxx, -Lxxx, -fxxx, -mXXX, -Kxxx These system specific options will
116                 be passed through to the compiler to allow you to
117                 define preprocessor symbols, specify additional libraries,
118                 library directories or other compiler options.
119
120
121  Installation in Detail
122  ----------------------
123
124  1a. Configure OpenSSL for your operation system automatically:
125
126        $ ./config [options]
127
128      This guesses at your operating system (and compiler, if necessary) and
129      configures OpenSSL based on this guess. Run ./config -t to see
130      if it guessed correctly. If you want to use a different compiler, you
131      are cross-compiling for another platform, or the ./config guess was
132      wrong for other reasons, go to step 1b. Otherwise go to step 2.
133
134      On some systems, you can include debugging information as follows:
135
136        $ ./config -d [options]
137
138  1b. Configure OpenSSL for your operating system manually
139
140      OpenSSL knows about a range of different operating system, hardware and
141      compiler combinations. To see the ones it knows about, run
142
143        $ ./Configure
144
145      Pick a suitable name from the list that matches your system. For most
146      operating systems there is a choice between using "cc" or "gcc".  When
147      you have identified your system (and if necessary compiler) use this name
148      as the argument to ./Configure. For example, a "linux-elf" user would
149      run:
150
151        $ ./Configure linux-elf [options]
152
153      If your system is not available, you will have to edit the Configure
154      program and add the correct configuration for your system. The
155      generic configurations "cc" or "gcc" should usually work on 32 bit
156      systems.
157
158      Configure creates the file Makefile.ssl from Makefile.in and
159      defines various macros in crypto/opensslconf.h (generated from
160      crypto/opensslconf.h.in).
161
162   2. Build OpenSSL by running:
163
164        $ make
165
166      This will build the OpenSSL libraries (libcrypto.a and libssl.a) and the
167      OpenSSL binary ("openssl"). The libraries will be built in the top-level
168      directory, and the binary will be in the "apps" directory.
169
170      If "make" fails, look at the output.  There may be reasons for
171      the failure that aren't problems in OpenSSL itself (like missing
172      standard headers).  If it is a problem with OpenSSL itself, please
173      report the problem to <openssl-bugs@openssl.org> (note that your
174      message will be recorded in the request tracker publicly readable
175      at https://www.openssl.org/community/index.html#bugs and will be
176      forwarded to a public mailing list). Include the output of "make
177      report" in your message.  Please check out the request tracker. Maybe
178      the bug was already reported or has already been fixed.
179
180      [If you encounter assembler error messages, try the "no-asm"
181      configuration option as an immediate fix.]
182
183      Compiling parts of OpenSSL with gcc and others with the system
184      compiler will result in unresolved symbols on some systems.
185
186   3. After a successful build, the libraries should be tested. Run:
187
188        $ make test
189
190      If some tests fail, look at the output.  There may be reasons for
191      the failure that isn't a problem in OpenSSL itself (like a
192      malfunction with Perl).  You may want increased verbosity, that
193      can be accomplished like this:
194
195        $ HARNESS_VERBOSE=yes make test
196
197      Also, you will find logs for all commands the tests have executed
198      in logs, test/test_*.log, one for each individual test.
199
200      If you want to run just one or a few specific tests, you can use
201      the make variable TESTS to specify them, like this:
202
203        $ make TESTS='test_rsa test_dsa' test
204
205      And of course, you can combine:
206        
207        $ HARNESS_VERBOSE=yes make TESTS='test_rsa test_dsa' test
208
209      You can find the list of available tests like this:
210
211        $ make list-tests
212
213      If you find a problem with OpenSSL itself, try removing any
214      compiler optimization flags from the CFLAG line in Makefile and
215      run "make clean; make".
216
217      Please send a bug report to <openssl-bugs@openssl.org>, and when
218      you do, please run the following and include the output in your
219      report:
220
221        $ make report
222
223   4. If everything tests ok, install OpenSSL with
224
225        $ make install
226
227      This will create the installation directory (if it does not exist) and
228      then the following subdirectories:
229
230        certs           Initially empty, this is the default location
231                        for certificate files.
232        man/man1        Manual pages for the 'openssl' command line tool
233        man/man3        Manual pages for the libraries (very incomplete)
234        misc            Various scripts.
235        private         Initially empty, this is the default location
236                        for private key files.
237
238      If you didn't choose a different installation prefix, the
239      following additional subdirectories will be created:
240
241        bin             Contains the openssl binary and a few other 
242                        utility programs. 
243        include/openssl Contains the header files needed if you want to
244                        compile programs with libcrypto or libssl.
245        lib             Contains the OpenSSL library files themselves.
246
247      Use "make install_sw" to install the software without documentation,
248      and "install_docs_html" to install HTML renditions of the manual
249      pages.
250
251      Package builders who want to configure the library for standard
252      locations, but have the package installed somewhere else so that
253      it can easily be packaged, can use
254
255        $ make INSTALL_PREFIX=/tmp/package-root install
256
257      (or specify "--install_prefix=/tmp/package-root" as a configure
258      option).  The specified prefix will be prepended to all
259      installation target filenames.
260
261
262   NOTE: The header files used to reside directly in the include
263   directory, but have now been moved to include/openssl so that
264   OpenSSL can co-exist with other libraries which use some of the
265   same filenames.  This means that applications that use OpenSSL
266   should now use C preprocessor directives of the form
267
268        #include <openssl/ssl.h>
269
270   instead of "#include <ssl.h>", which was used with library versions
271   up to OpenSSL 0.9.2b.
272
273   If you install a new version of OpenSSL over an old library version,
274   you should delete the old header files in the include directory.
275
276   Compatibility issues:
277
278   *  COMPILING existing applications
279
280      To compile an application that uses old filenames -- e.g.
281      "#include <ssl.h>" --, it will usually be enough to find
282      the CFLAGS definition in the application's Makefile and
283      add a C option such as
284
285           -I/usr/local/ssl/include/openssl
286
287      to it.
288
289      But don't delete the existing -I option that points to
290      the ..../include directory!  Otherwise, OpenSSL header files
291      could not #include each other.
292
293   *  WRITING applications
294
295      To write an application that is able to handle both the new
296      and the old directory layout, so that it can still be compiled
297      with library versions up to OpenSSL 0.9.2b without bothering
298      the user, you can proceed as follows:
299
300      -  Always use the new filename of OpenSSL header files,
301         e.g. #include <openssl/ssl.h>.
302
303      -  Create a directory "incl" that contains only a symbolic
304         link named "openssl", which points to the "include" directory
305         of OpenSSL.
306         For example, your application's Makefile might contain the
307         following rule, if OPENSSLDIR is a pathname (absolute or
308         relative) of the directory where OpenSSL resides:
309
310         incl/openssl:
311                 -mkdir incl
312                 cd $(OPENSSLDIR) # Check whether the directory really exists
313                 -ln -s `cd $(OPENSSLDIR); pwd`/include incl/openssl
314
315         You will have to add "incl/openssl" to the dependencies
316         of those C files that include some OpenSSL header file.
317
318      -  Add "-Iincl" to your CFLAGS.
319
320      With these additions, the OpenSSL header files will be available
321      under both name variants if an old library version is used:
322      Your application can reach them under names like <openssl/foo.h>,
323      while the header files still are able to #include each other
324      with names of the form <foo.h>.
325
326
327  Note on multi-threading
328  -----------------------
329
330  For some systems, the OpenSSL Configure script knows what compiler options
331  are needed to generate a library that is suitable for multi-threaded
332  applications.  On these systems, support for multi-threading is enabled
333  by default; use the "no-threads" option to disable (this should never be
334  necessary).
335
336  On other systems, to enable support for multi-threading, you will have
337  to specify at least two options: "threads", and a system-dependent option.
338  (The latter is "-D_REENTRANT" on various systems.)  The default in this
339  case, obviously, is not to include support for multi-threading (but
340  you can still use "no-threads" to suppress an annoying warning message
341  from the Configure script.)
342
343  OpenSSL provides built-in support for two threading models: pthreads (found on
344  most UNIX/Linux systems), and Windows threads. No other threading models are
345  supported. If your platform does not provide pthreads or Windows threads then
346  you should Configure with the "no-threads" option.
347
348  Note on shared libraries
349  ------------------------
350
351  Shared libraries have certain caveats.  Binary backward compatibility
352  can't be guaranteed before OpenSSL version 1.0.  The only reason to
353  use them would be to conserve memory on systems where several programs
354  are using OpenSSL.
355
356  For some systems, the OpenSSL Configure script knows what is needed to
357  build shared libraries for libcrypto and libssl.  On these systems,
358  the shared libraries are currently not created by default, but giving
359  the option "shared" will get them created.  This method supports Makefile
360  targets for shared library creation, like linux-shared.  Those targets
361  can currently be used on their own just as well, but this is expected
362  to change in future versions of OpenSSL.
363
364  Note on random number generation
365  --------------------------------
366
367  Availability of cryptographically secure random numbers is required for
368  secret key generation. OpenSSL provides several options to seed the
369  internal PRNG. If not properly seeded, the internal PRNG will refuse
370  to deliver random bytes and a "PRNG not seeded error" will occur.
371  On systems without /dev/urandom (or similar) device, it may be necessary
372  to install additional support software to obtain random seed.
373  Please check out the manual pages for RAND_add(), RAND_bytes(), RAND_egd(),
374  and the FAQ for more information.
375
376  Note on support for multiple builds
377  -----------------------------------
378
379  OpenSSL is usually built in its source tree.  Unfortunately, this doesn't
380  support building for multiple platforms from the same source tree very well.
381  It is however possible to build in a separate tree through the use of lots
382  of symbolic links, which should be prepared like this:
383
384         mkdir -p objtree/"`uname -s`-`uname -r`-`uname -m`"
385         cd objtree/"`uname -s`-`uname -r`-`uname -m`"
386         (cd $OPENSSL_SOURCE; find . -type f) | while read F; do
387                 mkdir -p `dirname $F`
388                 rm -f $F; ln -s $OPENSSL_SOURCE/$F $F
389                 echo $F '->' $OPENSSL_SOURCE/$F
390         done
391         make -f Makefile.in clean
392
393  OPENSSL_SOURCE is an environment variable that contains the absolute (this
394  is important!) path to the OpenSSL source tree.
395
396  Also, operations like 'make update' should still be made in the source tree.