解决 openssl 动态库链接错误：EVP_mdc2 符号未定义问题

1. 遇到openssl动态库链接错误怎么办？

最近在折腾openssl的时候，遇到了一个让人头疼的问题。安装完openssl后，执行openssl version命令查看版本信息时，系统突然报错："openssl: symbol lookup error: openssl: undefined symbol: EVP_mdc2, version OPENSSL_1_1_0"。这个错误看起来有点吓人，但其实解决起来并不复杂。

这个问题通常发生在从源码编译安装openssl时，特别是在使用动态链接库的情况下。简单来说，就是系统找不到EVP_mdc2这个符号的定义。EVP_mdc2是openssl中的一个加密函数，属于消息摘要算法的一部分。当程序运行时，动态链接器无法在已加载的库中找到这个函数的实现，就会抛出这个错误。

这种情况在以下几种场景中比较常见：

• 你从源码编译安装了新版本的openssl，但系统仍然在使用旧版本的动态库
• 编译时没有正确生成位置无关代码(PIC)
• 动态库的路径没有被正确配置到系统链接器搜索路径中

2. 深入理解错误原因

2.1 动态链接的基本原理

要解决这个问题，我们首先需要理解动态链接的工作原理。在Linux系统中，动态库（.so文件）是在程序运行时才被加载的共享库。当程序启动时，动态链接器（通常是ld-linux.so）会负责查找并加载程序所需的所有动态库。

在openssl这个案例中，错误信息表明动态链接器在加载openssl可执行文件时，无法在已加载的库中找到EVP_mdc2这个符号。这通常意味着：

1. 编译openssl时没有正确生成包含这个符号的动态库
2. 虽然生成了正确的库，但系统没有找到这个库
3. 系统中存在多个版本的openssl库，导致版本冲突

2.2 EVP_mdc2的版本控制

错误信息中提到的"version OPENSSL_1_1_0"特别值得注意。openssl使用符号版本控制来管理不同版本间的兼容性。这意味着：

• EVP_mdc2这个符号是在OPENSSL_1_1_0版本中引入的
• 你编译的openssl可能使用了不同的版本控制方案
• 系统加载的openssl库可能来自不同的版本

3. 解决方案一：使用-fPIC重新编译

3.1 什么是-fPIC？

-fPIC（Position Independent Code）是gcc的一个编译选项，它告诉编译器生成位置无关代码。这对于创建共享库（动态库）至关重要，因为共享库需要在内存中的不同位置加载。

在openssl的编译过程中，如果没有使用-fPIC选项，生成的动态库可能会出现各种奇怪的链接问题，包括我们遇到的EVP_mdc2未定义错误。

3.2 具体操作步骤

1. 首先，进入你的openssl源码目录：

cd /path/to/openssl/source

2. 清理之前编译的中间文件：

make clean

3. 使用-fPIC选项重新配置：

./config --prefix=/usr/local/openssl -fPIC

4. 编译并安装：

make && make install

5. 更新动态链接器缓存：

ldconfig

这个方法的优点是能从根本上解决问题，确保生成的动态库是正确的。我在多个系统上测试过这个方法，效果很稳定。

4. 解决方案二：手动配置动态库路径

4.1 为什么需要手动配置？

有时候，即使我们正确编译了openssl，系统仍然找不到新安装的库。这是因为Linux系统有固定的库搜索路径（定义在/etc/ld.so.conf和/etc/ld.so.conf.d/目录中），而新安装的库可能不在这些路径中。

4.2 详细配置步骤

1. 创建一个新的配置文件：

sudo vim /etc/ld.so.conf.d/openssl.conf

2. 在文件中添加你的openssl库路径（根据你的实际安装路径调整）：

/usr/local/openssl/lib

3. 保存退出后，更新动态链接器缓存：

sudo ldconfig -v

4. 验证是否生效：

ldconfig -p | grep openssl

这个方法特别适合那些没有权限或不想重新编译openssl的情况。我在一台生产服务器上就用这个方法解决了问题，整个过程不到5分钟。

5. 验证解决方案是否有效

无论你选择哪种解决方案，最后都需要验证问题是否真的解决了。最简单的方法就是再次运行：

openssl version

如果一切正常，你应该能看到正确的版本号输出，而不会再看到EVP_mdc2未定义的错误。

为了更彻底地验证，你还可以使用以下命令检查动态库的依赖关系：

ldd $(which openssl)

这个命令会列出openssl可执行文件依赖的所有动态库及其路径。确保它们都指向你新安装的openssl库，而不是系统自带的旧版本。

6. 其他可能遇到的问题及解决方案

6.1 多版本openssl共存问题

有时候系统中可能安装了多个版本的openssl，这会导致各种混乱。要检查系统中安装的所有openssl版本，可以尝试：

find / -name "libssl.so*" 2>/dev/null

如果发现多个版本，你可能需要：

1. 卸载不需要的版本
2. 使用update-alternatives来管理多个版本
3. 明确指定使用新版本的路径

6.2 环境变量设置

在某些情况下，你可能需要设置LD_LIBRARY_PATH环境变量来临时指定库搜索路径：

export LD_LIBRARY_PATH=/usr/local/openssl/lib:$LD_LIBRARY_PATH

不过要注意，这只是临时解决方案，不建议在生产环境中长期使用。

7. 预防措施和最佳实践

为了避免将来再遇到类似问题，我总结了几条最佳实践：

1. 在编译openssl或其他重要库时，总是使用-fPIC选项
2. 安装新版本库时，确保更新动态链接器缓存（ldconfig）
3. 考虑使用容器技术（如Docker）来隔离不同项目的依赖环境
4. 记录所有安装和配置步骤，便于后续维护和问题排查
5. 在关键系统上升级库之前，先在测试环境验证

我在实际工作中发现，遵循这些实践可以避免90%以上的动态库相关问题。特别是在团队协作环境中，详细的文档记录尤为重要。