Move providers/common/{ciphers,digests}/* to providers/implementations
[openssl.git] / INSTALL
1  OPENSSL INSTALLATION
2  --------------------
3
4  This document describes installation on all supported operating
5  systems (the Unix/Linux family (which includes Mac OS/X), OpenVMS,
6  and Windows).
7
8  To install OpenSSL, you will need:
9
10   * A make implementation
11   * Perl 5 with core modules (please read NOTES.PERL)
12   * The perl module Text::Template (please read NOTES.PERL)
13   * an ANSI C compiler
14   * a development environment in the form of development libraries and C
15     header files
16   * a supported operating system
17
18  For additional platform specific requirements, solutions to specific
19  issues and other details, please read one of these:
20
21   * NOTES.UNIX (any supported Unix like system)
22   * NOTES.VMS (OpenVMS)
23   * NOTES.WIN (any supported Windows)
24   * NOTES.DJGPP (DOS platform with DJGPP)
25   * NOTES.ANDROID (obviously Android [NDK])
26   * NOTES.VALGRIND (testing with Valgrind)
27
28  Notational conventions in this document
29  ---------------------------------------
30
31  Throughout this document, we use the following conventions in command
32  examples:
33
34  $ command                      Any line starting with a dollar sign
35                                 ($) is a command line.
36
37  { word1 | word2 | word3 }      This denotes a mandatory choice, to be
38                                 replaced with one of the given words.
39                                 A simple example would be this:
40
41                                 $ echo { FOO | BAR | COOKIE }
42
43                                 which is to be understood as one of
44                                 these:
45
46                                 $ echo FOO
47                                 - or -
48                                 $ echo BAR
49                                 - or -
50                                 $ echo COOKIE
51
52  [ word1 | word2 | word3 ]      Similar to { word1 | word2 | word3 }
53                                 except it's optional to give any of
54                                 those.  In addition to the examples
55                                 above, this would also be valid:
56
57                                 $ echo
58
59  {{ target }}                   This denotes a mandatory word or
60                                 sequence of words of some sort.  A
61                                 simple example would be this:
62
63                                 $ type {{ filename }}
64
65                                 which is to be understood to use the
66                                 command 'type' on some file name
67                                 determined by the user.
68
69  [[ options ]]                  Similar to {{ target }}, but is
70                                 optional.
71
72  Note that the notation assumes spaces around {, }, [, ], {{, }} and
73  [[, ]].  This is to differentiate from OpenVMS directory
74  specifications, which also use [ and ], but without spaces.
75
76  Quick Start
77  -----------
78
79  If you want to just get on with it, do:
80
81   on Unix (again, this includes Mac OS/X):
82
83     $ ./config
84     $ make
85     $ make test
86     $ make install
87
88   on OpenVMS:
89
90     $ @config
91     $ mms
92     $ mms test
93     $ mms install
94
95   on Windows (only pick one of the targets for configuration):
96
97     $ perl Configure { VC-WIN32 | VC-WIN64A | VC-WIN64I | VC-CE }
98     $ nmake
99     $ nmake test
100     $ nmake install
101
102  Note that in order to perform the install step above you need to have
103  appropriate permissions to write to the installation directory.
104
105  If any of these steps fails, see section Installation in Detail below.
106
107  This will build and install OpenSSL in the default location, which is:
108
109   Unix:    normal installation directories under /usr/local
110   OpenVMS: SYS$COMMON:[OPENSSL-'version'...], where 'version' is the
111            OpenSSL version number with underscores instead of periods.
112   Windows: C:\Program Files\OpenSSL or C:\Program Files (x86)\OpenSSL
113
114  The installation directory should be appropriately protected to ensure
115  unprivileged users cannot make changes to OpenSSL binaries or files, or install
116  engines. If you already have a pre-installed version of OpenSSL as part of
117  your Operating System it is recommended that you do not overwrite the system
118  version and instead install to somewhere else.
119
120  If you want to install it anywhere else, run config like this:
121
122   On Unix:
123
124     $ ./config --prefix=/opt/openssl --openssldir=/usr/local/ssl
125
126   On OpenVMS:
127
128     $ @config --prefix=PROGRAM:[INSTALLS] --openssldir=SYS$MANAGER:[OPENSSL]
129
130  (Note: if you do add options to the configuration command, please make sure
131  you've read more than just this Quick Start, such as relevant NOTES.* files,
132  the options outline below, as configuration options may change the outcome
133  in otherwise unexpected ways)
134
135
136  Configuration Options
137  ---------------------
138
139  There are several options to ./config (or ./Configure) to customize
140  the build (note that for Windows, the defaults for --prefix and
141  --openssldir depend in what configuration is used and what Windows
142  implementation OpenSSL is built on.  More notes on this in NOTES.WIN):
143
144   --api=x.y.z
145                    Don't build with support for deprecated APIs below the
146                    specified version number. For example "--api=1.1.0" will
147                    remove support for all APIS that were deprecated in OpenSSL
148                    version 1.1.0 or below. This is a rather specialized option
149                    for developers. If you just intend to remove all deprecated
150                    APIs entirely (up to the current version), it is easier
151                    to add the 'no-deprecated' option instead (see below).
152
153   --cross-compile-prefix=PREFIX
154                    The PREFIX to include in front of commands for your
155                    toolchain. It's likely to have to end with dash, e.g.
156                    a-b-c- would invoke GNU compiler as a-b-c-gcc, etc.
157                    Unfortunately cross-compiling is too case-specific to
158                    put together one-size-fits-all instructions. You might
159                    have to pass more flags or set up environment variables
160                    to actually make it work. Android and iOS cases are
161                    discussed in corresponding Configurations/15-*.conf
162                    files. But there are cases when this option alone is
163                    sufficient. For example to build the mingw64 target on
164                    Linux "--cross-compile-prefix=x86_64-w64-mingw32-"
165                    works. Naturally provided that mingw packages are
166                    installed. Today Debian and Ubuntu users have option to
167                    install a number of prepackaged cross-compilers along
168                    with corresponding run-time and development packages for
169                    "alien" hardware. To give another example
170                    "--cross-compile-prefix=mipsel-linux-gnu-" suffices
171                    in such case. Needless to mention that you have to
172                    invoke ./Configure, not ./config, and pass your target
173                    name explicitly. Also, note that --openssldir refers
174                    to target's file system, not one you are building on.
175
176   --debug
177                    Build OpenSSL with debugging symbols and zero optimization
178                    level.
179
180   --libdir=DIR
181                    The name of the directory under the top of the installation
182                    directory tree (see the --prefix option) where libraries will
183                    be installed. By default this is "lib". Note that on Windows
184                    only ".lib" files will be stored in this location. dll files
185                    will always be installed to the "bin" directory.
186
187   --openssldir=DIR
188                    Directory for OpenSSL configuration files, and also the
189                    default certificate and key store.  Defaults are:
190
191                    Unix:           /usr/local/ssl
192                    Windows:        C:\Program Files\Common Files\SSL
193                                 or C:\Program Files (x86)\Common Files\SSL
194                    OpenVMS:        SYS$COMMON:[OPENSSL-COMMON]
195
196   --prefix=DIR
197                    The top of the installation directory tree.  Defaults are:
198
199                    Unix:           /usr/local
200                    Windows:        C:\Program Files\OpenSSL
201                                 or C:\Program Files (x86)\OpenSSL
202                    OpenVMS:        SYS$COMMON:[OPENSSL-'version']
203
204   --release
205                    Build OpenSSL without debugging symbols. This is the default.
206
207   --strict-warnings
208                    This is a developer flag that switches on various compiler
209                    options recommended for OpenSSL development. It only works
210                    when using gcc or clang as the compiler. If you are
211                    developing a patch for OpenSSL then it is recommended that
212                    you use this option where possible.
213
214   --with-zlib-include=DIR
215                    The directory for the location of the zlib include file. This
216                    option is only necessary if enable-zlib (see below) is used
217                    and the include file is not already on the system include
218                    path.
219
220   --with-zlib-lib=LIB
221                    On Unix: this is the directory containing the zlib library.
222                    If not provided the system library path will be used.
223                    On Windows: this is the filename of the zlib library (with or
224                    without a path). This flag must be provided if the
225                    zlib-dynamic option is not also used. If zlib-dynamic is used
226                    then this flag is optional and a default value ("ZLIB1") is
227                    used if not provided.
228                    On VMS: this is the filename of the zlib library (with or
229                    without a path). This flag is optional and if not provided
230                    then "GNV$LIBZSHR", "GNV$LIBZSHR32" or "GNV$LIBZSHR64" is
231                    used by default depending on the pointer size chosen.
232
233
234   --with-rand-seed=seed1[,seed2,...]
235                    A comma separated list of seeding methods which will be tried
236                    by OpenSSL in order to obtain random input (a.k.a "entropy")
237                    for seeding its cryptographically secure random number
238                    generator (CSPRNG). The current seeding methods are:
239
240                    os:         Use a trusted operating system entropy source.
241                                This is the default method if such an entropy
242                                source exists.
243                    getrandom:  Use the L<getrandom(2)> or equivalent system
244                                call.
245                    devrandom:  Use the first device from the DEVRANDOM list
246                                which can be opened to read random bytes. The
247                                DEVRANDOM preprocessor constant expands to
248                                "/dev/urandom","/dev/random","/dev/srandom" on
249                                most unix-ish operating systems.
250                    egd:        Check for an entropy generating daemon.
251                    rdcpu:      Use the RDSEED or RDRAND command if provided by
252                                the CPU.
253                    librandom:  Use librandom (not implemented yet).
254                    none:       Disable automatic seeding. This is the default
255                                on some operating systems where no suitable
256                                entropy source exists, or no support for it is
257                                implemented yet.
258
259                    For more information, see the section 'Note on random number
260                    generation' at the end of this document.
261
262   no-afalgeng
263                    Don't build the AFALG engine. This option will be forced if
264                    on a platform that does not support AFALG.
265
266   enable-ktls
267                    Build with Kernel TLS support. This option will enable the
268                    use of the Kernel TLS data-path, which can improve
269                    performance and allow for the use of sendfile and splice
270                    system calls on TLS sockets. The Kernel may use TLS
271                    accelerators if any are available on the system.
272                    This option will be forced off on systems that do not support
273                    the Kernel TLS data-path.
274
275   enable-asan
276                    Build with the Address sanitiser. This is a developer option
277                    only. It may not work on all platforms and should never be
278                    used in production environments. It will only work when used
279                    with gcc or clang and should be used in conjunction with the
280                    no-shared option.
281
282   no-asm
283                    Do not use assembler code. This should be viewed as
284                    debugging/trouble-shooting option rather than production.
285                    On some platforms a small amount of assembler code may
286                    still be used even with this option.
287
288   no-async
289                    Do not build support for async operations.
290
291   no-autoalginit
292                    Don't automatically load all supported ciphers and digests.
293                    Typically OpenSSL will make available all of its supported
294                    ciphers and digests. For a statically linked application this
295                    may be undesirable if small executable size is an objective.
296                    This only affects libcrypto. Ciphers and digests will have to
297                    be loaded manually using EVP_add_cipher() and
298                    EVP_add_digest() if this option is used. This option will
299                    force a non-shared build.
300
301   no-autoerrinit
302                    Don't automatically load all libcrypto/libssl error strings.
303                    Typically OpenSSL will automatically load human readable
304                    error strings. For a statically linked application this may
305                    be undesirable if small executable size is an objective.
306
307   no-autoload-config
308                    Don't automatically load the default openssl.cnf file.
309                    Typically OpenSSL will automatically load a system config
310                    file which configures default ssl options.
311
312   enable-buildtest-c++
313                    While testing, generate C++ buildtest files that
314                    simply check that the public OpenSSL header files
315                    are usable standalone with C++.
316
317                    Enabling this option demands extra care.  For any
318                    compiler flag given directly as configuration
319                    option, you must ensure that it's valid for both
320                    the C and the C++ compiler.  If not, the C++ build
321                    test will most likely break.  As an alternative,
322                    you can use the language specific variables, CFLAGS
323                    and CXXFLAGS.
324
325   no-capieng
326                    Don't build the CAPI engine. This option will be forced if
327                    on a platform that does not support CAPI.
328
329   no-cmp
330                    Don't build support for CMP features
331
332   no-cms
333                    Don't build support for CMS features
334
335   no-comp
336                    Don't build support for SSL/TLS compression. If this option
337                    is left enabled (the default), then compression will only
338                    work if the zlib or zlib-dynamic options are also chosen.
339
340   enable-crypto-mdebug
341                    Build support for debugging memory allocated via
342                    OPENSSL_malloc() or OPENSSL_zalloc().
343
344   enable-crypto-mdebug-backtrace
345                    As for crypto-mdebug, but additionally provide backtrace
346                    information for allocated memory.
347                    TO BE USED WITH CARE: this uses GNU C functionality, and
348                    is therefore not usable for non-GNU config targets.  If
349                    your build complains about the use of '-rdynamic' or the
350                    lack of header file execinfo.h, this option is not for you.
351                    ALSO NOTE that even though execinfo.h is available on your
352                    system (through Gnulib), the functions might just be stubs
353                    that do nothing.
354
355   no-ct
356                    Don't build support for Certificate Transparency.
357
358   no-deprecated
359                    Don't build with support for any deprecated APIs. This is the
360                    same as using "--api" and supplying the latest version
361                    number.
362
363   no-dgram
364                    Don't build support for datagram based BIOs. Selecting this
365                    option will also force the disabling of DTLS.
366
367   no-dso
368                    Don't build support for loading Dynamic Shared Objects.
369
370   enable-devcryptoeng
371                    Build the /dev/crypto engine.  It is automatically selected
372                    on BSD implementations, in which case it can be disabled with
373                    no-devcryptoeng.
374
375   no-dynamic-engine
376                    Don't build the dynamically loaded engines. This only has an
377                    effect in a "shared" build
378
379   no-ec
380                    Don't build support for Elliptic Curves.
381
382   no-ec2m
383                    Don't build support for binary Elliptic Curves
384
385   enable-ec_nistp_64_gcc_128
386                    Enable support for optimised implementations of some commonly
387                    used NIST elliptic curves.
388                    This is only supported on platforms:
389                    - with little-endian storage of non-byte types
390                    - that tolerate misaligned memory references
391                    - where the compiler:
392                      - supports the non-standard type __uint128_t
393                      - defines the built-in macro __SIZEOF_INT128__
394
395   enable-egd
396                    Build support for gathering entropy from EGD (Entropy
397                    Gathering Daemon).
398
399   no-engine
400                    Don't build support for loading engines.
401
402   no-err
403                    Don't compile in any error strings.
404
405   enable-external-tests
406                    Enable building of integration with external test suites.
407                    This is a developer option and may not work on all platforms.
408                    The only supported external test suite at the current time is
409                    the BoringSSL test suite. See the file test/README.external
410                    for further details.
411
412   no-filenames
413                    Don't compile in filename and line number information (e.g.
414                    for errors and memory allocation).
415
416   no-fips
417                    Don't compile the FIPS module
418
419   enable-fuzz-libfuzzer, enable-fuzz-afl
420                    Build with support for fuzzing using either libfuzzer or AFL.
421                    These are developer options only. They may not work on all
422                    platforms and should never be used in production environments.
423                    See the file fuzz/README.md for further details.
424
425   no-gost
426                    Don't build support for GOST based ciphersuites. Note that
427                    if this feature is enabled then GOST ciphersuites are only
428                    available if the GOST algorithms are also available through
429                    loading an externally supplied engine.
430
431   no-legacy
432                    Don't build the legacy provider. Disabling this also disables
433                    the legacy algorithms: MD2 (already disabled by default).
434
435   no-makedepend
436                    Don't generate dependencies.
437
438   no-module
439                    Don't build any dynamically loadable engines.  This also
440                    implies 'no-dynamic-engine'.
441
442   no-multiblock
443                    Don't build support for writing multiple records in one
444                    go in libssl (Note: this is a different capability to the
445                    pipelining functionality).
446
447   no-nextprotoneg
448                    Don't build support for the NPN TLS extension.
449
450   no-ocsp
451                    Don't build support for OCSP.
452
453   no-padlockeng
454   no-hw-padlock
455                    Don't build the padlock engine.
456                    ('no-hw-padlock' is deprecated and should not be used)
457
458   no-pic
459                    Don't build with support for Position Independent Code.
460
461   no-pinshared     By default OpenSSL will attempt to stay in memory until the
462                    process exits. This is so that libcrypto and libssl can be
463                    properly cleaned up automatically via an "atexit()" handler.
464                    The handler is registered by libcrypto and cleans up both
465                    libraries. On some platforms the atexit() handler will run on
466                    unload of libcrypto (if it has been dynamically loaded)
467                    rather than at process exit. This option can be used to stop
468                    OpenSSL from attempting to stay in memory until the process
469                    exits. This could lead to crashes if either libcrypto or
470                    libssl have already been unloaded at the point
471                    that the atexit handler is invoked, e.g. on a platform which
472                    calls atexit() on unload of the library, and libssl is
473                    unloaded before libcrypto then a crash is likely to happen.
474                    Applications can suppress running of the atexit() handler at
475                    run time by using the OPENSSL_INIT_NO_ATEXIT option to
476                    OPENSSL_init_crypto(). See the man page for it for further
477                    details.
478
479   no-posix-io
480                    Don't use POSIX IO capabilities.
481
482   no-psk
483                    Don't build support for Pre-Shared Key based ciphersuites.
484
485   no-rdrand
486                    Don't use hardware RDRAND capabilities.
487
488   no-rfc3779
489                    Don't build support for RFC3779 ("X.509 Extensions for IP
490                    Addresses and AS Identifiers")
491
492   sctp
493                    Build support for SCTP
494
495   no-shared
496                    Do not create shared libraries, only static ones.  See "Note
497                    on shared libraries" below.
498
499   no-sock
500                    Don't build support for socket BIOs
501
502   no-srp
503                    Don't build support for SRP or SRP based ciphersuites.
504
505   no-srtp
506                    Don't build SRTP support
507
508   no-sse2
509                    Exclude SSE2 code paths from 32-bit x86 assembly modules.
510                    Normally SSE2 extension is detected at run-time, but the
511                    decision whether or not the machine code will be executed
512                    is taken solely on CPU capability vector. This means that
513                    if you happen to run OS kernel which does not support SSE2
514                    extension on Intel P4 processor, then your application
515                    might be exposed to "illegal instruction" exception.
516                    There might be a way to enable support in kernel, e.g.
517                    FreeBSD kernel can  be compiled with CPU_ENABLE_SSE, and
518                    there is a way to disengage SSE2 code paths upon application
519                    start-up, but if you aim for wider "audience" running
520                    such kernel, consider no-sse2. Both the 386 and
521                    no-asm options imply no-sse2.
522
523   enable-ssl-trace
524                    Build with the SSL Trace capabilities (adds the "-trace"
525                    option to s_client and s_server).
526
527   no-static-engine
528                    Don't build the statically linked engines. This only
529                    has an impact when not built "shared".
530
531   no-stdio
532                    Don't use anything from the C header file "stdio.h" that
533                    makes use of the "FILE" type. Only libcrypto and libssl can
534                    be built in this way. Using this option will suppress
535                    building the command line applications. Additionally since
536                    the OpenSSL tests also use the command line applications the
537                    tests will also be skipped.
538
539   no-tests
540                    Don't build test programs or run any test.
541
542   no-threads
543                    Don't try to build with support for multi-threaded
544                    applications.
545
546   threads
547                    Build with support for multi-threaded applications. Most
548                    platforms will enable this by default. However if on a
549                    platform where this is not the case then this will usually
550                    require additional system-dependent options! See "Note on
551                    multi-threading" below.
552
553   enable-trace
554                    Build with support for the integrated tracing api. See manual pages
555                    OSSL_trace_set_channel(3) and OSSL_trace_enabled(3) for details.
556
557   no-ts
558                    Don't build Time Stamping Authority support.
559
560   enable-ubsan
561                    Build with the Undefined Behaviour sanitiser. This is a
562                    developer option only. It may not work on all platforms and
563                    should never be used in production environments. It will only
564                    work when used with gcc or clang and should be used in
565                    conjunction with the "-DPEDANTIC" option (or the
566                    --strict-warnings option).
567
568   no-ui
569                    Don't build with the "UI" capability (i.e. the set of
570                    features enabling text based prompts).
571
572   enable-unit-test
573                    Enable additional unit test APIs. This should not typically
574                    be used in production deployments.
575
576   no-uplink
577                    Don't build support for UPLINK interface.
578
579   enable-weak-ssl-ciphers
580                    Build support for SSL/TLS ciphers that are considered "weak"
581                    (e.g. RC4 based ciphersuites).
582
583   zlib
584                    Build with support for zlib compression/decompression.
585
586   zlib-dynamic
587                    Like "zlib", but has OpenSSL load the zlib library
588                    dynamically when needed.  This is only supported on systems
589                    where loading of shared libraries is supported.
590
591   386
592                    In 32-bit x86 builds, when generating assembly modules,
593                    use the 80386 instruction set only (the default x86 code
594                    is more efficient, but requires at least a 486). Note:
595                    This doesn't affect code generated by compiler, you're
596                    likely to complement configuration command line with
597                    suitable compiler-specific option.
598
599   no-<prot>
600                    Don't build support for negotiating the specified SSL/TLS
601                    protocol (one of ssl, ssl3, tls, tls1, tls1_1, tls1_2,
602                    tls1_3, dtls, dtls1 or dtls1_2). If "no-tls" is selected then
603                    all of tls1, tls1_1, tls1_2 and tls1_3 are disabled.
604                    Similarly "no-dtls" will disable dtls1 and dtls1_2. The
605                    "no-ssl" option is synonymous with "no-ssl3". Note this only
606                    affects version negotiation. OpenSSL will still provide the
607                    methods for applications to explicitly select the individual
608                    protocol versions.
609
610   no-<prot>-method
611                    As for no-<prot> but in addition do not build the methods for
612                    applications to explicitly select individual protocol
613                    versions. Note that there is no "no-tls1_3-method" option
614                    because there is no application method for TLSv1.3. Using
615                    individual protocol methods directly is deprecated.
616                    Applications should use TLS_method() instead.
617
618   enable-<alg>
619                    Build with support for the specified algorithm, where <alg>
620                    is one of: md2 or rc5.
621
622   no-<alg>
623                    Build without support for the specified algorithm, where
624                    <alg> is one of: aria, bf, blake2, camellia, cast, chacha,
625                    cmac, des, dh, dsa, ecdh, ecdsa, idea, md4, mdc2, ocb,
626                    poly1305, rc2, rc4, rmd160, scrypt, seed, siphash, siv, sm2,
627                    sm3, sm4 or whirlpool.  The "ripemd" algorithm is deprecated
628                    and if used is synonymous with rmd160.
629
630   -Dxxx, -Ixxx, -Wp, -lxxx, -Lxxx, -Wl, -rpath, -R, -framework, -static
631                    These system specific options will be recognised and
632                    passed through to the compiler to allow you to define
633                    preprocessor symbols, specify additional libraries, library
634                    directories or other compiler options. It might be worth
635                    noting that some compilers generate code specifically for
636                    processor the compiler currently executes on. This is not
637                    necessarily what you might have in mind, since it might be
638                    unsuitable for execution on other, typically older,
639                    processor. Consult your compiler documentation.
640
641                    Take note of the VAR=value documentation below and how
642                    these flags interact with those variables.
643
644   -xxx, +xxx, /xxx
645                    Additional options that are not otherwise recognised are
646                    passed through as they are to the compiler as well.
647                    Unix-style options beginning with a '-' or '+' and
648                    Windows-style options beginning with a '/' are recognized.
649                    Again, consult your compiler documentation.
650
651                    If the option contains arguments separated by spaces,
652                    then the URL-style notation %20 can be used for the space
653                    character in order to avoid having to quote the option.
654                    For example, -opt%20arg gets expanded to -opt arg.
655                    In fact, any ASCII character can be encoded as %xx using its
656                    hexadecimal encoding.
657
658                    Take note of the VAR=value documentation below and how
659                    these flags interact with those variables.
660
661   VAR=value
662                    Assignment of environment variable for Configure.  These
663                    work just like normal environment variable assignments,
664                    but are supported on all platforms and are confined to
665                    the configuration scripts only.  These assignments override
666                    the corresponding value in the inherited environment, if
667                    there is one.
668
669                    The following variables are used as "make variables" and
670                    can be used as an alternative to giving preprocessor,
671                    compiler and linker options directly as configuration.
672                    The following variables are supported:
673
674                    AR              The static library archiver.
675                    ARFLAGS         Flags for the static library archiver.
676                    AS              The assembler compiler.
677                    ASFLAGS         Flags for the assembler compiler.
678                    CC              The C compiler.
679                    CFLAGS          Flags for the C compiler.
680                    CXX             The C++ compiler.
681                    CXXFLAGS        Flags for the C++ compiler.
682                    CPP             The C/C++ preprocessor.
683                    CPPFLAGS        Flags for the C/C++ preprocessor.
684                    CPPDEFINES      List of CPP macro definitions, separated
685                                    by a platform specific character (':' or
686                                    space for Unix, ';' for Windows, ',' for
687                                    VMS).  This can be used instead of using
688                                    -D (or what corresponds to that on your
689                                    compiler) in CPPFLAGS.
690                    CPPINCLUDES     List of CPP inclusion directories, separated
691                                    the same way as for CPPDEFINES.  This can
692                                    be used instead of -I (or what corresponds
693                                    to that on your compiler) in CPPFLAGS.
694                    HASHBANGPERL    Perl invocation to be inserted after '#!'
695                                    in public perl scripts (only relevant on
696                                    Unix).
697                    LD              The program linker (not used on Unix, $(CC)
698                                    is used there).
699                    LDFLAGS         Flags for the shared library, DSO and
700                                    program linker.
701                    LDLIBS          Extra libraries to use when linking.
702                                    Takes the form of a space separated list
703                                    of library specifications on Unix and
704                                    Windows, and as a comma separated list of
705                                    libraries on VMS.
706                    RANLIB          The library archive indexer.
707                    RC              The Windows resource compiler.
708                    RCFLAGS         Flags for the Windows resource compiler.
709                    RM              The command to remove files and directories.
710
711                    These cannot be mixed with compiling / linking flags given
712                    on the command line.  In other words, something like this
713                    isn't permitted.
714
715                        ./config -DFOO CPPFLAGS=-DBAR -DCOOKIE
716
717                    Backward compatibility note:
718
719                    To be compatible with older configuration scripts, the
720                    environment variables are ignored if compiling / linking
721                    flags are given on the command line, except for these:
722
723                    AR, CC, CXX, CROSS_COMPILE, HASHBANGPERL, PERL, RANLIB, RC
724                    and WINDRES
725
726                    For example, the following command will not see -DBAR:
727
728                         CPPFLAGS=-DBAR ./config -DCOOKIE
729
730                    However, the following will see both set variables:
731
732                         CC=gcc CROSS_COMPILE=x86_64-w64-mingw32- \
733                         ./config -DCOOKIE
734
735                    If CC is set, it is advisable to also set CXX to ensure
736                    both C and C++ compilers are in the same "family".  This
737                    becomes relevant with 'enable-external-tests' and
738                    'enable-buildtest-c++'.
739
740   reconf
741   reconfigure
742                    Reconfigure from earlier data.  This fetches the previous
743                    command line options and environment from data saved in
744                    "configdata.pm", and runs the configuration process again,
745                    using these options and environment.
746                    Note: NO other option is permitted together with "reconf".
747                    This means that you also MUST use "./Configure" (or
748                    what corresponds to that on non-Unix platforms) directly
749                    to invoke this option.
750                    Note: The original configuration saves away values for ALL
751                    environment variables that were used, and if they weren't
752                    defined, they are still saved away with information that
753                    they weren't originally defined.  This information takes
754                    precedence over environment variables that are defined
755                    when reconfiguring.
756
757  Displaying configuration data
758  -----------------------------
759
760  The configuration script itself will say very little, and finishes by
761  creating "configdata.pm".  This perl module can be loaded by other scripts
762  to find all the configuration data, and it can also be used as a script to
763  display all sorts of configuration data in a human readable form.
764
765  For more information, please do:
766
767        $ ./configdata.pm --help                         # Unix
768
769        or
770
771        $ perl configdata.pm --help                      # Windows and VMS
772
773  Installation in Detail
774  ----------------------
775
776  1a. Configure OpenSSL for your operation system automatically:
777
778      NOTE: This is not available on Windows.
779
780        $ ./config [[ options ]]                         # Unix
781
782        or
783
784        $ @config [[ options ]]                          ! OpenVMS
785
786      For the remainder of this text, the Unix form will be used in all
787      examples, please use the appropriate form for your platform.
788
789      This guesses at your operating system (and compiler, if necessary) and
790      configures OpenSSL based on this guess. Run ./config -t to see
791      if it guessed correctly. If you want to use a different compiler, you
792      are cross-compiling for another platform, or the ./config guess was
793      wrong for other reasons, go to step 1b. Otherwise go to step 2.
794
795      On some systems, you can include debugging information as follows:
796
797        $ ./config -d [[ options ]]
798
799  1b. Configure OpenSSL for your operating system manually
800
801      OpenSSL knows about a range of different operating system, hardware and
802      compiler combinations. To see the ones it knows about, run
803
804        $ ./Configure                                    # Unix
805
806        or
807
808        $ perl Configure                                 # All other platforms
809
810      For the remainder of this text, the Unix form will be used in all
811      examples, please use the appropriate form for your platform.
812
813      Pick a suitable name from the list that matches your system. For most
814      operating systems there is a choice between using "cc" or "gcc".  When
815      you have identified your system (and if necessary compiler) use this name
816      as the argument to Configure. For example, a "linux-elf" user would
817      run:
818
819        $ ./Configure linux-elf [[ options ]]
820
821      If your system isn't listed, you will have to create a configuration
822      file named Configurations/{{ something }}.conf and add the correct
823      configuration for your system. See the available configs as examples
824      and read Configurations/README and Configurations/README.design for
825      more information.
826
827      The generic configurations "cc" or "gcc" should usually work on 32 bit
828      Unix-like systems.
829
830      Configure creates a build file ("Makefile" on Unix, "makefile" on Windows
831      and "descrip.mms" on OpenVMS) from a suitable template in Configurations,
832      and defines various macros in include/openssl/opensslconf.h (generated from
833      include/openssl/opensslconf.h.in).
834
835  1c. Configure OpenSSL for building outside of the source tree.
836
837      OpenSSL can be configured to build in a build directory separate from
838      the directory with the source code.  It's done by placing yourself in
839      some other directory and invoking the configuration commands from
840      there.
841
842      Unix example:
843
844        $ mkdir /var/tmp/openssl-build
845        $ cd /var/tmp/openssl-build
846        $ /PATH/TO/OPENSSL/SOURCE/config [[ options ]]
847
848        or
849
850        $ /PATH/TO/OPENSSL/SOURCE/Configure {{ target }} [[ options ]]
851
852      OpenVMS example:
853
854        $ set default sys$login:
855        $ create/dir [.tmp.openssl-build]
856        $ set default [.tmp.openssl-build]
857        $ @[PATH.TO.OPENSSL.SOURCE]config [[ options ]]
858
859        or
860
861        $ @[PATH.TO.OPENSSL.SOURCE]Configure {{ target }} [[ options ]]
862
863      Windows example:
864
865        $ C:
866        $ mkdir \temp-openssl
867        $ cd \temp-openssl
868        $ perl d:\PATH\TO\OPENSSL\SOURCE\Configure {{ target }} [[ options ]]
869
870      Paths can be relative just as well as absolute.  Configure will
871      do its best to translate them to relative paths whenever possible.
872
873   2. Build OpenSSL by running:
874
875        $ make                                           # Unix
876        $ mms                                            ! (or mmk) OpenVMS
877        $ nmake                                          # Windows
878
879      This will build the OpenSSL libraries (libcrypto.a and libssl.a on
880      Unix, corresponding on other platforms) and the OpenSSL binary
881      ("openssl"). The libraries will be built in the top-level directory,
882      and the binary will be in the "apps" subdirectory.
883
884      Troubleshooting:
885
886      If the build fails, look at the output.  There may be reasons
887      for the failure that aren't problems in OpenSSL itself (like
888      missing standard headers).
889
890      If the build succeeded previously, but fails after a source or
891      configuration change, it might be helpful to clean the build tree
892      before attempting another build. Use this command:
893
894        $ make clean                                     # Unix
895        $ mms clean                                      ! (or mmk) OpenVMS
896        $ nmake clean                                    # Windows
897
898      Assembler error messages can sometimes be sidestepped by using the
899      "no-asm" configuration option.
900
901      Compiling parts of OpenSSL with gcc and others with the system
902      compiler will result in unresolved symbols on some systems.
903
904      If you are still having problems you can get help by sending an email
905      to the openssl-users email list (see
906      https://www.openssl.org/community/mailinglists.html for details). If
907      it is a bug with OpenSSL itself, please open an issue on GitHub, at
908      https://github.com/openssl/openssl/issues. Please review the existing
909      ones first; maybe the bug was already reported or has already been
910      fixed.
911
912   3. After a successful build, the libraries should be tested. Run:
913
914        $ make test                                      # Unix
915        $ mms test                                       ! OpenVMS
916        $ nmake test                                     # Windows
917
918      NOTE: you MUST run the tests from an unprivileged account (or
919      disable your privileges temporarily if your platform allows it).
920
921      If some tests fail, look at the output.  There may be reasons for
922      the failure that isn't a problem in OpenSSL itself (like a
923      malfunction with Perl).  You may want increased verbosity, that
924      can be accomplished like this:
925
926      Verbosity on failure only (make macro VERBOSE_FAILURE or VF):
927
928        $ make VF=1 test                                 # Unix
929        $ mms /macro=(VF=1) test                         ! OpenVMS
930        $ nmake VF=1 test                                # Windows
931
932      Full verbosity (make macro VERBOSE or V):
933
934        $ make V=1 test                                  # Unix
935        $ mms /macro=(V=1) test                          ! OpenVMS
936        $ nmake V=1 test                                 # Windows
937
938      If you want to run just one or a few specific tests, you can use
939      the make variable TESTS to specify them, like this:
940
941        $ make TESTS='test_rsa test_dsa' test            # Unix
942        $ mms/macro="TESTS=test_rsa test_dsa" test       ! OpenVMS
943        $ nmake TESTS='test_rsa test_dsa' test           # Windows
944
945      And of course, you can combine (Unix example shown):
946
947        $ make VF=1 TESTS='test_rsa test_dsa' test
948
949      You can find the list of available tests like this:
950
951        $ make list-tests                                # Unix
952        $ mms list-tests                                 ! OpenVMS
953        $ nmake list-tests                               # Windows
954
955      Have a look at the manual for the perl module Test::Harness to
956      see what other HARNESS_* variables there are.
957
958      If you find a problem with OpenSSL itself, try removing any
959      compiler optimization flags from the CFLAGS line in Makefile and
960      run "make clean; make" or corresponding.
961
962      To report a bug please open an issue on GitHub, at
963      https://github.com/openssl/openssl/issues.
964
965      For more details on how the make variables TESTS can be used,
966      see section TESTS in Detail below.
967
968   4. If everything tests ok, install OpenSSL with
969
970        $ make install                                   # Unix
971        $ mms install                                    ! OpenVMS
972        $ nmake install                                  # Windows
973
974      Note that in order to perform the install step above you need to have
975      appropriate permissions to write to the installation directory.
976
977      The above commands will install all the software components in this
978      directory tree under PREFIX (the directory given with --prefix or its
979      default):
980
981        Unix:
982
983          bin/           Contains the openssl binary and a few other
984                         utility scripts.
985          include/openssl
986                         Contains the header files needed if you want
987                         to build your own programs that use libcrypto
988                         or libssl.
989          lib            Contains the OpenSSL library files.
990          lib/engines    Contains the OpenSSL dynamically loadable engines.
991
992          share/man/man1 Contains the OpenSSL command line man-pages.
993          share/man/man3 Contains the OpenSSL library calls man-pages.
994          share/man/man5 Contains the OpenSSL configuration format man-pages.
995          share/man/man7 Contains the OpenSSL other misc man-pages.
996
997          share/doc/openssl/html/man1
998          share/doc/openssl/html/man3
999          share/doc/openssl/html/man5
1000          share/doc/openssl/html/man7
1001                         Contains the HTML rendition of the man-pages.
1002
1003        OpenVMS ('arch' is replaced with the architecture name, "Alpha"
1004        or "ia64", 'sover' is replaced with the shared library version
1005        (0101 for 1.1), and 'pz' is replaced with the pointer size
1006        OpenSSL was built with):
1007
1008          [.EXE.'arch']  Contains the openssl binary.
1009          [.EXE]         Contains a few utility scripts.
1010          [.include.openssl]
1011                         Contains the header files needed if you want
1012                         to build your own programs that use libcrypto
1013                         or libssl.
1014          [.LIB.'arch']  Contains the OpenSSL library files.
1015          [.ENGINES'sover''pz'.'arch']
1016                         Contains the OpenSSL dynamically loadable engines.
1017          [.SYS$STARTUP] Contains startup, login and shutdown scripts.
1018                         These define appropriate logical names and
1019                         command symbols.
1020          [.SYSTEST]     Contains the installation verification procedure.
1021          [.HTML]        Contains the HTML rendition of the manual pages.
1022
1023
1024      Additionally, install will add the following directories under
1025      OPENSSLDIR (the directory given with --openssldir or its default)
1026      for you convenience:
1027
1028          certs          Initially empty, this is the default location
1029                         for certificate files.
1030          private        Initially empty, this is the default location
1031                         for private key files.
1032          misc           Various scripts.
1033
1034      The installation directory should be appropriately protected to ensure
1035      unprivileged users cannot make changes to OpenSSL binaries or files, or
1036      install engines. If you already have a pre-installed version of OpenSSL as
1037      part of your Operating System it is recommended that you do not overwrite
1038      the system version and instead install to somewhere else.
1039
1040      Package builders who want to configure the library for standard
1041      locations, but have the package installed somewhere else so that
1042      it can easily be packaged, can use
1043
1044        $ make DESTDIR=/tmp/package-root install         # Unix
1045        $ mms/macro="DESTDIR=TMP:[PACKAGE-ROOT]" install ! OpenVMS
1046
1047      The specified destination directory will be prepended to all
1048      installation target paths.
1049
1050   Compatibility issues with previous OpenSSL versions:
1051
1052   *  COMPILING existing applications
1053
1054      Starting with version 1.1.0, OpenSSL hides a number of structures
1055      that were previously open.  This includes all internal libssl
1056      structures and a number of EVP types.  Accessor functions have
1057      been added to allow controlled access to the structures' data.
1058
1059      This means that some software needs to be rewritten to adapt to
1060      the new ways of doing things.  This often amounts to allocating
1061      an instance of a structure explicitly where you could previously
1062      allocate them on the stack as automatic variables, and using the
1063      provided accessor functions where you would previously access a
1064      structure's field directly.
1065
1066      Some APIs have changed as well.  However, older APIs have been
1067      preserved when possible.
1068
1069  Environment Variables
1070  ---------------------
1071
1072  A number of environment variables can be used to provide additional control
1073  over the build process. Typically these should be defined prior to running
1074  config or Configure. Not all environment variables are relevant to all
1075  platforms.
1076
1077  AR
1078                 The name of the ar executable to use.
1079
1080  BUILDFILE
1081                 Use a different build file name than the platform default
1082                 ("Makefile" on Unix-like platforms, "makefile" on native Windows,
1083                 "descrip.mms" on OpenVMS).  This requires that there is a
1084                 corresponding build file template.  See Configurations/README
1085                 for further information.
1086
1087  CC
1088                 The compiler to use. Configure will attempt to pick a default
1089                 compiler for your platform but this choice can be overridden
1090                 using this variable. Set it to the compiler executable you wish
1091                 to use, e.g. "gcc" or "clang".
1092
1093  CROSS_COMPILE
1094                 This environment variable has the same meaning as for the
1095                 "--cross-compile-prefix" Configure flag described above. If both
1096                 are set then the Configure flag takes precedence.
1097
1098  NM
1099                 The name of the nm executable to use.
1100
1101  OPENSSL_LOCAL_CONFIG_DIR
1102                 OpenSSL comes with a database of information about how it
1103                 should be built on different platforms as well as build file
1104                 templates for those platforms. The database is comprised of
1105                 ".conf" files in the Configurations directory.  The build
1106                 file templates reside there as well as ".tmpl" files. See the
1107                 file Configurations/README for further information about the
1108                 format of ".conf" files as well as information on the ".tmpl"
1109                 files.
1110                 In addition to the standard ".conf" and ".tmpl" files, it is
1111                 possible to create your own ".conf" and ".tmpl" files and store
1112                 them locally, outside the OpenSSL source tree. This environment
1113                 variable can be set to the directory where these files are held
1114                 and will be considered by Configure before it looks in the
1115                 standard directories.
1116
1117  PERL
1118                 The name of the Perl executable to use when building OpenSSL.
1119                 This variable is used in config script only. Configure on the
1120                 other hand imposes the interpreter by which it itself was
1121                 executed on the whole build procedure.
1122
1123  HASHBANGPERL
1124                 The command string for the Perl executable to insert in the
1125                 #! line of perl scripts that will be publically installed.
1126                 Default: /usr/bin/env perl
1127                 Note: the value of this variable is added to the same scripts
1128                 on all platforms, but it's only relevant on Unix-like platforms.
1129
1130  RC
1131                 The name of the rc executable to use. The default will be as
1132                 defined for the target platform in the ".conf" file. If not
1133                 defined then "windres" will be used. The WINDRES environment
1134                 variable is synonymous to this. If both are defined then RC
1135                 takes precedence.
1136
1137  RANLIB
1138                 The name of the ranlib executable to use.
1139
1140  WINDRES
1141                 See RC.
1142
1143  Makefile targets
1144  ----------------
1145
1146  The Configure script generates a Makefile in a format relevant to the specific
1147  platform. The Makefiles provide a number of targets that can be used. Not all
1148  targets may be available on all platforms. Only the most common targets are
1149  described here. Examine the Makefiles themselves for the full list.
1150
1151  all
1152                 The default target to build all the software components.
1153
1154  clean
1155                 Remove all build artefacts and return the directory to a "clean"
1156                 state.
1157
1158  depend
1159                 Rebuild the dependencies in the Makefiles. This is a legacy
1160                 option that no longer needs to be used since OpenSSL 1.1.0.
1161
1162  install
1163                 Install all OpenSSL components.
1164
1165  install_sw
1166                 Only install the OpenSSL software components.
1167
1168  install_docs
1169                 Only install the OpenSSL documentation components.
1170
1171  install_man_docs
1172                 Only install the OpenSSL man pages (Unix only).
1173
1174  install_html_docs
1175                 Only install the OpenSSL html documentation.
1176
1177  list-tests
1178                 Prints a list of all the self test names.
1179
1180  test
1181                 Build and run the OpenSSL self tests.
1182
1183  uninstall
1184                 Uninstall all OpenSSL components.
1185
1186  reconfigure
1187  reconf
1188                 Re-run the configuration process, as exactly as the last time
1189                 as possible.
1190
1191  update
1192                 This is a developer option. If you are developing a patch for
1193                 OpenSSL you may need to use this if you want to update
1194                 automatically generated files; add new error codes or add new
1195                 (or change the visibility of) public API functions. (Unix only).
1196
1197  TESTS in Detail
1198  ---------------
1199
1200  The make variable TESTS supports a versatile set of space separated tokens
1201  with which you can specify a set of tests to be performed.  With a "current
1202  set of tests" in mind, initially being empty, here are the possible tokens:
1203
1204  alltests       The current set of tests becomes the whole set of available
1205                 tests (as listed when you do 'make list-tests' or similar).
1206  xxx            Adds the test 'xxx' to the current set of tests.
1207  -xxx           Removes 'xxx' from the current set of tests.  If this is the
1208                 first token in the list, the current set of tests is first
1209                 assigned the whole set of available tests, effectively making
1210                 this token equivalent to TESTS="alltests -xxx".
1211  nn             Adds the test group 'nn' (which is a number) to the current
1212                 set of tests.
1213  -nn            Removes the test group 'nn' from the current set of tests.
1214                 If this is the first token in the list, the current set of
1215                 tests is first assigned the whole set of available tests,
1216                 effectively making this token equivalent to
1217                 TESTS="alltests -xxx".
1218
1219  Also, all tokens except for "alltests" may have wildcards, such as *.
1220  (on Unix and Windows, BSD style wildcards are supported, while on VMS,
1221  it's VMS style wildcards)
1222
1223  Example: All tests except for the fuzz tests:
1224
1225  $ make TESTS=-test_fuzz test
1226
1227  or (if you want to be explicit)
1228
1229  $ make TESTS='alltests -test_fuzz' test
1230
1231  Example: All tests that have a name starting with "test_ssl" but not those
1232  starting with "test_ssl_":
1233
1234  $ make TESTS='test_ssl* -test_ssl_*' test
1235
1236  Example: Only test group 10:
1237
1238  $ make TESTS='10'
1239
1240  Example: All tests except the slow group (group 99):
1241
1242  $ make TESTS='-99'
1243
1244  Example: All tests in test groups 80 to 99 except for tests in group 90:
1245
1246  $ make TESTS='[89]? -90'
1247
1248 To stochastically verify that the algorithm that produces uniformly distributed
1249 random numbers is operating correctly (with a false positive rate of 0.01%):
1250
1251  $ ./util/shlib_wrap.sh test/bntest -stochastic
1252
1253  Note on multi-threading
1254  -----------------------
1255
1256  For some systems, the OpenSSL Configure script knows what compiler options
1257  are needed to generate a library that is suitable for multi-threaded
1258  applications.  On these systems, support for multi-threading is enabled
1259  by default; use the "no-threads" option to disable (this should never be
1260  necessary).
1261
1262  On other systems, to enable support for multi-threading, you will have
1263  to specify at least two options: "threads", and a system-dependent option.
1264  (The latter is "-D_REENTRANT" on various systems.)  The default in this
1265  case, obviously, is not to include support for multi-threading (but
1266  you can still use "no-threads" to suppress an annoying warning message
1267  from the Configure script.)
1268
1269  OpenSSL provides built-in support for two threading models: pthreads (found on
1270  most UNIX/Linux systems), and Windows threads. No other threading models are
1271  supported. If your platform does not provide pthreads or Windows threads then
1272  you should Configure with the "no-threads" option.
1273
1274  Notes on shared libraries
1275  -------------------------
1276
1277  For most systems the OpenSSL Configure script knows what is needed to
1278  build shared libraries for libcrypto and libssl. On these systems
1279  the shared libraries will be created by default. This can be suppressed and
1280  only static libraries created by using the "no-shared" option. On systems
1281  where OpenSSL does not know how to build shared libraries the "no-shared"
1282  option will be forced and only static libraries will be created.
1283
1284  Shared libraries are named a little differently on different platforms.
1285  One way or another, they all have the major OpenSSL version number as
1286  part of the file name, i.e. for OpenSSL 1.1.x, 1.1 is somehow part of
1287  the name.
1288
1289  On most POSIX platforms, shared libraries are named libcrypto.so.1.1
1290  and libssl.so.1.1.
1291
1292  on Cygwin, shared libraries are named cygcrypto-1.1.dll and cygssl-1.1.dll
1293  with import libraries libcrypto.dll.a and libssl.dll.a.
1294
1295  On Windows build with MSVC or using MingW, shared libraries are named
1296  libcrypto-1_1.dll and libssl-1_1.dll for 32-bit Windows, libcrypto-1_1-x64.dll
1297  and libssl-1_1-x64.dll for 64-bit x86_64 Windows, and libcrypto-1_1-ia64.dll
1298  and libssl-1_1-ia64.dll for IA64 Windows.  With MSVC, the import libraries
1299  are named libcrypto.lib and libssl.lib, while with MingW, they are named
1300  libcrypto.dll.a and libssl.dll.a.
1301
1302  On VMS, shareable images (VMS speak for shared libraries) are named
1303  ossl$libcrypto0101_shr.exe and ossl$libssl0101_shr.exe.  However, when
1304  OpenSSL is specifically built for 32-bit pointers, the shareable images
1305  are named ossl$libcrypto0101_shr32.exe and ossl$libssl0101_shr32.exe
1306  instead, and when built for 64-bit pointers, they are named
1307  ossl$libcrypto0101_shr64.exe and ossl$libssl0101_shr64.exe.
1308
1309  Note on random number generation
1310  --------------------------------
1311
1312  Availability of cryptographically secure random numbers is required for
1313  secret key generation. OpenSSL provides several options to seed the
1314  internal CSPRNG. If not properly seeded, the internal CSPRNG will refuse
1315  to deliver random bytes and a "PRNG not seeded error" will occur.
1316
1317  The seeding method can be configured using the --with-rand-seed option,
1318  which can be used to specify a comma separated list of seed methods.
1319  However in most cases OpenSSL will choose a suitable default method,
1320  so it is not necessary to explicitly provide this option. Note also
1321  that not all methods are available on all platforms.
1322
1323  I) On operating systems which provide a suitable randomness source (in
1324  form  of a system call or system device), OpenSSL will use the optimal
1325  available  method to seed the CSPRNG from the operating system's
1326  randomness sources. This corresponds to the option --with-rand-seed=os.
1327
1328  II) On systems without such a suitable randomness source, automatic seeding
1329  and reseeding is disabled (--with-rand-seed=none) and it may be necessary
1330  to install additional support software to obtain a random seed and reseed
1331  the CSPRNG manually.  Please check out the manual pages for RAND_add(),
1332  RAND_bytes(), RAND_egd(), and the FAQ for more information.