it-swarm.com.ru

Как определить дату истечения срока действия сертификата SSL из сертификата PEM?

Если у меня есть настоящий файл и оболочка Bash в Mac или Linux, как я могу запросить файл сертификата, когда он истечет? Не веб-сайт, а фактически сам файл сертификата, при условии, что у меня есть файлы csr, key, pem и chain.

250
GL2014

С openssl:

openssl x509 -enddate -noout -in file.pem

Вывод находится в форме:

notAfter=Nov  3 22:23:50 2014 GMT

Также см. ответ MikeW , чтобы узнать, как легко проверить, истек ли срок действия сертификата или нет, или нет, в течение определенного периода времени, не анализируя вышеуказанную дату.

504
that other guy

Если вы просто хотите узнать, истек ли срок действия сертификата (или будет ли он в течение следующих N секунд), опция -checkend <seconds> для openssl x509 скажет вам:

if openssl x509 -checkend 86400 -noout -in file.pem
then
  echo "Certificate is good for another day!"
else
  echo "Certificate has expired or will do so within 24 hours!"
  echo "(or is invalid/not found)"
fi

Это избавляет от необходимости делать сравнение даты/времени самостоятельно.

openssl вернет код завершения 0 (ноль), если срок действия сертификата не истек, и не будет выполняться в течение следующих 86400 секунд, как в примере выше. Если срок действия сертификата истек или он уже был сделан, или возникла какая-либо другая ошибка, например, неверный/несуществующий файл, используйте код возврата 1.

(Конечно, предполагается, что время/дата установлены правильно)

132
MikeW

Вот моя командная строка bash для перечисления нескольких сертификатов в порядке их истечения, последний из которых истекает первым.

for pem in /etc/ssl/certs/*.pem; do 
   printf '%s: %s\n' \
      "$(date --date="$(openssl x509 -enddate -noout -in "$pem"|cut -d= -f 2)" --iso-8601)" \
      "$pem"
done | sort

Пример вывода:

2015-12-16: /etc/ssl/certs/Staat_der_Nederlanden_Root_CA.pem
2016-03-22: /etc/ssl/certs/CA_Disig.pem
2016-08-14: /etc/ssl/certs/EBG_Elektronik_Sertifika_Hizmet_S.pem
15
Nicholas Sushkin

Вот функция bash, которая проверяет все ваши серверы, если вы используете циклический перебор DNS. Обратите внимание, что для этого требуется GNU дата, и она не будет работать в Mac OS

function check_certs () {
  if [ -z "$1" ]
  then
    echo "domain name missing"
    exit 1
  fi
  name="$1"
  shift

  now_Epoch=$( date +%s )

  Dig +noall +answer $name | while read _ _ _ _ ip;
  do
    echo -n "$ip:"
    expiry_date=$( echo | openssl s_client -showcerts -servername $name -connect $ip:443 2>/dev/null | openssl x509 -inform pem -noout -enddate | cut -d "=" -f 2 )
    echo -n " $expiry_date";
    expiry_Epoch=$( date -d "$expiry_date" +%s )
    expiry_days="$(( ($expiry_Epoch - $now_Epoch) / (3600 * 24) ))"
    echo "    $expiry_days days"
  done
}

Пример вывода:

$ check_certs stackoverflow.com
151.101.1.69: Aug 14 12:00:00 2019 GMT    603 days
151.101.65.69: Aug 14 12:00:00 2019 GMT    603 days
151.101.129.69: Aug 14 12:00:00 2019 GMT    603 days
151.101.193.69: Aug 14 12:00:00 2019 GMT    603 days
6
Andrew

Для MAC OSX (El Capitan) Эта модификация примера Николая сработала для меня.

for pem in /path/to/certs/*.pem; do
    printf '%s: %s\n' \
        "$(date -jf "%b %e %H:%M:%S %Y %Z" "$(openssl x509 -enddate -noout -in "$pem"|cut -d= -f 2)" +"%Y-%m-%d")" \
    "$pem";
done | sort

Пример вывода:

2014-12-19: /path/to/certs/MDM_Certificate.pem
2015-11-13: /path/to/certs/MDM_AirWatch_Certificate.pem

macOS не понравились флаги --date= или --iso-8601 в моей системе.

2
Donald.M

Проверка одной строки на true/false, если срок действия сертификата истек через некоторое время (например, 15 дней):

if openssl x509 -checkend $(( 24*3600*15 )) -noout -in <(openssl s_client -showcerts -connect may.domain.com:443 </dev/null 2>/dev/null | openssl x509 -outform PEM)
then
  echo 'good'
else
  echo 'bad'
fi
0
Alexey

Если (по какой-то причине) вы хотите использовать приложение с графическим интерфейсом в Linux, используйте gcr-viewer (в большинстве дистрибутивов оно устанавливается пакетом gcr (в противном случае в пакете gcr-viewer))

gcr-viewer file.pem
# or
gcr-viewer file.crt
0
Attila123