Update documentation of SSL METHODs and ciphers
[openssl.git] / INSTALL
1
2  INSTALLATION ON THE UNIX PLATFORM
3  ---------------------------------
4
5  [Installation on DOS (with djgpp), Windows, OpenVMS, MacOS (before MacOS X)
6   and NetWare is described in INSTALL.DJGPP, INSTALL.WIN, INSTALL.VMS,
7   INSTALL.MacOS and INSTALL.NW.
8   
9   This document describes installation on operating systems in the Unix
10   family.]
11
12  To install OpenSSL, you will need:
13
14   * make
15   * Perl 5 with core modules (please read README.PERL)
16   * The perl module Text::Template (please read README.PERL)
17   * an ANSI C compiler
18   * a development environment in form of development libraries and C
19     header files
20   * a supported Unix operating system
21
22  Quick Start
23  -----------
24
25  If you want to just get on with it, do:
26
27   $ ./config
28   $ make
29   $ make test
30   $ make install
31
32  [If any of these steps fails, see section Installation in Detail below.]
33
34  This will build and install OpenSSL in the default location, which is (for
35  historical reasons) /usr/local/ssl. If you want to install it anywhere else,
36  run config like this:
37
38   $ ./config --prefix=/usr/local --openssldir=/usr/local/openssl
39
40
41  Configuration Options
42  ---------------------
43
44  There are several options to ./config (or ./Configure) to customize
45  the build:
46
47   --prefix=DIR  Install in DIR/bin, DIR/lib, DIR/include/openssl.
48                 Configuration files used by OpenSSL will be in DIR/ssl
49                 or the directory specified by --openssldir.
50
51   --openssldir=DIR Directory for OpenSSL files. If no prefix is specified,
52                 the library files and binaries are also installed there.
53
54   no-autoalginit Don't automatically load all supported ciphers and digests.
55                 Typically OpenSSL will make available all of its supported
56                 ciphers and digests. For a statically linked application this
57                 may be undesirable if small executable size is an objective.
58                 This only affects libcrypto. Ciphers and digests will have to be
59                 loaded manually using EVP_add_cipher() and EVP_add_digest() if
60                 this option is used.
61
62   no-autoerrinit Don't automatically load all libcrypto/libssl error strings.
63                 Typically OpenSSL will automatically load human readable error
64                 strings. For a statically linked application this may be
65                 undesirable if small executable size is an objective.
66
67   no-threads    Don't try to build with support for multi-threaded
68                 applications.
69
70   threads       Build with support for multi-threaded applications.
71                 This will usually require additional system-dependent options!
72                 See "Note on multi-threading" below.
73
74   no-zlib       Don't try to build with support for zlib compression and
75                 decompression.
76
77   zlib          Build with support for zlib compression/decompression.
78
79   zlib-dynamic  Like "zlib", but has OpenSSL load the zlib library dynamically
80                 when needed.  This is only supported on systems where loading
81                 of shared libraries is supported.  This is the default choice.
82
83   no-shared     Don't try to create shared libraries.
84
85   shared        In addition to the usual static libraries, create shared
86                 libraries on platforms where it's supported.  See "Note on
87                 shared libraries" below.
88
89   no-asm        Do not use assembler code.
90
91   386           Use the 80386 instruction set only (the default x86 code is
92                 more efficient, but requires at least a 486). Note: Use
93                 compiler flags for any other CPU specific configuration,
94                 e.g. "-m32" to build x86 code on an x64 system.
95
96   no-sse2       Exclude SSE2 code pathes. Normally SSE2 extension is
97                 detected at run-time, but the decision whether or not the
98                 machine code will be executed is taken solely on CPU
99                 capability vector. This means that if you happen to run OS
100                 kernel which does not support SSE2 extension on Intel P4
101                 processor, then your application might be exposed to
102                 "illegal instruction" exception. There might be a way
103                 to enable support in kernel, e.g. FreeBSD kernel can be
104                 compiled with CPU_ENABLE_SSE, and there is a way to
105                 disengage SSE2 code pathes upon application start-up,
106                 but if you aim for wider "audience" running such kernel,
107                 consider no-sse2. Both 386 and no-asm options above imply
108                 no-sse2.
109
110   no-<cipher>   Build without the specified cipher (bf, cast, des, dh, dsa,
111                 hmac, md2, md5, mdc2, rc2, rc4, rc5, rsa, sha).
112                 The crypto/<cipher> directory can be removed after running
113                 "make depend".
114
115   -Dxxx, -lxxx, -Lxxx, -fxxx, -mXXX, -Kxxx These system specific options will
116                 be passed through to the compiler to allow you to
117                 define preprocessor symbols, specify additional libraries,
118                 library directories or other compiler options.
119
120
121  Installation in Detail
122  ----------------------
123
124  1a. Configure OpenSSL for your operation system automatically:
125
126        $ ./config [options]
127
128      This guesses at your operating system (and compiler, if necessary) and
129      configures OpenSSL based on this guess. Run ./config -t to see
130      if it guessed correctly. If you want to use a different compiler, you
131      are cross-compiling for another platform, or the ./config guess was
132      wrong for other reasons, go to step 1b. Otherwise go to step 2.
133
134      On some systems, you can include debugging information as follows:
135
136        $ ./config -d [options]
137
138  1b. Configure OpenSSL for your operating system manually
139
140      OpenSSL knows about a range of different operating system, hardware and
141      compiler combinations. To see the ones it knows about, run
142
143        $ ./Configure
144
145      Pick a suitable name from the list that matches your system. For most
146      operating systems there is a choice between using "cc" or "gcc".  When
147      you have identified your system (and if necessary compiler) use this name
148      as the argument to ./Configure. For example, a "linux-elf" user would
149      run:
150
151        $ ./Configure linux-elf [options]
152
153      If your system is not available, you will have to edit the Configure
154      program and add the correct configuration for your system. The
155      generic configurations "cc" or "gcc" should usually work on 32 bit
156      systems.
157
158      Configure creates the file Makefile.ssl from Makefile.in and
159      defines various macros in crypto/opensslconf.h (generated from
160      crypto/opensslconf.h.in).
161
162   2. Build OpenSSL by running:
163
164        $ make
165
166      This will build the OpenSSL libraries (libcrypto.a and libssl.a) and the
167      OpenSSL binary ("openssl"). The libraries will be built in the top-level
168      directory, and the binary will be in the "apps" directory.
169
170      If "make" fails, look at the output.  There may be reasons for
171      the failure that aren't problems in OpenSSL itself (like missing
172      standard headers).  If it is a problem with OpenSSL itself, please
173      report the problem to <openssl-bugs@openssl.org> (note that your
174      message will be recorded in the request tracker publicly readable
175      at https://www.openssl.org/community/index.html#bugs and will be
176      forwarded to a public mailing list). Include the output of "make
177      report" in your message.  Please check out the request tracker. Maybe
178      the bug was already reported or has already been fixed.
179
180      [If you encounter assembler error messages, try the "no-asm"
181      configuration option as an immediate fix.]
182
183      Compiling parts of OpenSSL with gcc and others with the system
184      compiler will result in unresolved symbols on some systems.
185
186   3. After a successful build, the libraries should be tested. Run:
187
188        $ make test
189
190      If some tests fail, look at the output.  There may be reasons for
191      the failure that isn't a problem in OpenSSL itself (like a
192      malfunction with Perl).  You may want increased verbosity, that
193      can be accomplished like this:
194
195        $ HARNESS_VERBOSE=yes make test
196
197      If you want to run just one or a few specific tests, you can use
198      the make variable TESTS to specify them, like this:
199
200        $ make TESTS='test_rsa test_dsa' test
201
202      And of course, you can combine:
203        
204        $ HARNESS_VERBOSE=yes make TESTS='test_rsa test_dsa' test
205
206      You can find the list of available tests like this:
207
208        $ make list-tests
209
210      Have a look at the manual for the perl module Test::Harness to
211      see what other HARNESS_* variables there are.
212
213      If you find a problem with OpenSSL itself, try removing any
214      compiler optimization flags from the CFLAG line in Makefile and
215      run "make clean; make".
216
217      Please send a bug report to <openssl-bugs@openssl.org>, and when
218      you do, please run the following and include the output in your
219      report:
220
221        $ make report
222
223   4. If everything tests ok, install OpenSSL with
224
225        $ make install
226
227      This will create the installation directory (if it does not exist) and
228      then the following subdirectories:
229
230        certs           Initially empty, this is the default location
231                        for certificate files.
232        man/man1        Manual pages for the 'openssl' command line tool
233        man/man3        Manual pages for the libraries (very incomplete)
234        misc            Various scripts.
235        private         Initially empty, this is the default location
236                        for private key files.
237
238      If you didn't choose a different installation prefix, the
239      following additional subdirectories will be created:
240
241        bin             Contains the openssl binary and a few other 
242                        utility programs. 
243        include/openssl Contains the header files needed if you want to
244                        compile programs with libcrypto or libssl.
245        lib             Contains the OpenSSL library files themselves.
246
247      Use "make install_sw" to install the software without documentation,
248      and "install_docs_html" to install HTML renditions of the manual
249      pages.
250
251      Package builders who want to configure the library for standard
252      locations, but have the package installed somewhere else so that
253      it can easily be packaged, can use
254
255        $ make DESTDIR=/tmp/package-root install
256
257      The specified destination directory will be prepended to all
258      installation target filenames.
259
260
261   NOTE: The header files used to reside directly in the include
262   directory, but have now been moved to include/openssl so that
263   OpenSSL can co-exist with other libraries which use some of the
264   same filenames.  This means that applications that use OpenSSL
265   should now use C preprocessor directives of the form
266
267        #include <openssl/ssl.h>
268
269   instead of "#include <ssl.h>", which was used with library versions
270   up to OpenSSL 0.9.2b.
271
272   If you install a new version of OpenSSL over an old library version,
273   you should delete the old header files in the include directory.
274
275   Compatibility issues:
276
277   *  COMPILING existing applications
278
279      To compile an application that uses old filenames -- e.g.
280      "#include <ssl.h>" --, it will usually be enough to find
281      the CFLAGS definition in the application's Makefile and
282      add a C option such as
283
284           -I/usr/local/ssl/include/openssl
285
286      to it.
287
288      But don't delete the existing -I option that points to
289      the ..../include directory!  Otherwise, OpenSSL header files
290      could not #include each other.
291
292   *  WRITING applications
293
294      To write an application that is able to handle both the new
295      and the old directory layout, so that it can still be compiled
296      with library versions up to OpenSSL 0.9.2b without bothering
297      the user, you can proceed as follows:
298
299      -  Always use the new filename of OpenSSL header files,
300         e.g. #include <openssl/ssl.h>.
301
302      -  Create a directory "incl" that contains only a symbolic
303         link named "openssl", which points to the "include" directory
304         of OpenSSL.
305         For example, your application's Makefile might contain the
306         following rule, if OPENSSLDIR is a pathname (absolute or
307         relative) of the directory where OpenSSL resides:
308
309         incl/openssl:
310                 -mkdir incl
311                 cd $(OPENSSLDIR) # Check whether the directory really exists
312                 -ln -s `cd $(OPENSSLDIR); pwd`/include incl/openssl
313
314         You will have to add "incl/openssl" to the dependencies
315         of those C files that include some OpenSSL header file.
316
317      -  Add "-Iincl" to your CFLAGS.
318
319      With these additions, the OpenSSL header files will be available
320      under both name variants if an old library version is used:
321      Your application can reach them under names like <openssl/foo.h>,
322      while the header files still are able to #include each other
323      with names of the form <foo.h>.
324
325
326  Note on multi-threading
327  -----------------------
328
329  For some systems, the OpenSSL Configure script knows what compiler options
330  are needed to generate a library that is suitable for multi-threaded
331  applications.  On these systems, support for multi-threading is enabled
332  by default; use the "no-threads" option to disable (this should never be
333  necessary).
334
335  On other systems, to enable support for multi-threading, you will have
336  to specify at least two options: "threads", and a system-dependent option.
337  (The latter is "-D_REENTRANT" on various systems.)  The default in this
338  case, obviously, is not to include support for multi-threading (but
339  you can still use "no-threads" to suppress an annoying warning message
340  from the Configure script.)
341
342  OpenSSL provides built-in support for two threading models: pthreads (found on
343  most UNIX/Linux systems), and Windows threads. No other threading models are
344  supported. If your platform does not provide pthreads or Windows threads then
345  you should Configure with the "no-threads" option.
346
347  Note on shared libraries
348  ------------------------
349
350  Shared libraries have certain caveats.  Binary backward compatibility
351  can't be guaranteed before OpenSSL version 1.0.  The only reason to
352  use them would be to conserve memory on systems where several programs
353  are using OpenSSL.
354
355  For some systems, the OpenSSL Configure script knows what is needed to
356  build shared libraries for libcrypto and libssl.  On these systems,
357  the shared libraries are currently not created by default, but giving
358  the option "shared" will get them created.  This method supports Makefile
359  targets for shared library creation, like linux-shared.  Those targets
360  can currently be used on their own just as well, but this is expected
361  to change in future versions of OpenSSL.
362
363  Note on random number generation
364  --------------------------------
365
366  Availability of cryptographically secure random numbers is required for
367  secret key generation. OpenSSL provides several options to seed the
368  internal PRNG. If not properly seeded, the internal PRNG will refuse
369  to deliver random bytes and a "PRNG not seeded error" will occur.
370  On systems without /dev/urandom (or similar) device, it may be necessary
371  to install additional support software to obtain random seed.
372  Please check out the manual pages for RAND_add(), RAND_bytes(), RAND_egd(),
373  and the FAQ for more information.
374
375  Note on support for multiple builds
376  -----------------------------------
377
378  OpenSSL is usually built in its source tree.  Unfortunately, this doesn't
379  support building for multiple platforms from the same source tree very well.
380  It is however possible to build in a separate tree through the use of lots
381  of symbolic links, which should be prepared like this:
382
383         mkdir -p objtree/"`uname -s`-`uname -r`-`uname -m`"
384         cd objtree/"`uname -s`-`uname -r`-`uname -m`"
385         (cd $OPENSSL_SOURCE; find . -type f) | while read F; do
386                 mkdir -p `dirname $F`
387                 rm -f $F; ln -s $OPENSSL_SOURCE/$F $F
388                 echo $F '->' $OPENSSL_SOURCE/$F
389         done
390         make -f Makefile.in clean
391
392  OPENSSL_SOURCE is an environment variable that contains the absolute (this
393  is important!) path to the OpenSSL source tree.
394
395  Also, operations like 'make update' should still be made in the source tree.