Отображение сведений об удаленном SSL-сертификате с помощью инструментов CLI

187

В Chrome, нажав на зеленый значок блокировки HTTPS, открывается окно с информацией о сертификате:

введите описание изображения здесь

Когда я попробовал то же самое с cURL, я получил только часть информации:

$ curl -vvI https://gnupg.org
* Rebuilt URL to: https://gnupg.org/
* Hostname was NOT found in DNS cache
*   Trying 217.69.76.60...
* Connected to gnupg.org (217.69.76.60) port 443 (#0)
* TLS 1.2 connection using TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* Server certificate: gnupg.org
* Server certificate: Gandi Standard SSL CA
* Server certificate: UTN-USERFirst-Hardware
> HEAD / HTTP/1.1
> User-Agent: curl/7.37.1
> Host: gnupg.org
> Accept: */*

Любая идея, как получить полную информацию о сертификате с помощью инструмента командной строки (cURL или другой)?

Адам Матан
источник
1
См. Также stackoverflow.com/questions/7885785/…
Вадим
Вероятно, зависит от версии тоже. Моя текущая curlс флагом --verboseпоказывает полное содержание сертификата сервера.
Патрик Мевзек

Ответы:

264

Вы должны быть в состоянии использовать OpenSSL для своих целей:

echo | openssl s_client -showcerts -servername gnupg.org -connect gnupg.org:443 2>/dev/null | openssl x509 -inform pem -noout -text

Эта команда подключается к нужному веб-сайту и передает сертификат в формате PEM другой команде openssl, которая считывает и анализирует детали.

(Обратите внимание, что «избыточный» -servernameпараметр необходим для выполнения opensslзапроса с поддержкой SNI.)

Педро Перес
источник
Кажется, есть ошибка с этой командой:OpenSSL> openssl:Error: 'CONNECTED(00000003)' is an invalid command.
Адам Матан
2
@AdamMatan Вы включили полную команду после второго канала? Сообщение об ошибке выглядит так, как будто второй вызов openssl завершился в интерактивном режиме (т.е. opensslпротив openssl x509 -inform pem -noout -text). То, что написал Педро, прекрасно работает для меня.
Хакан Линдквист
4
Обратите внимание, что в то время как s_client будет печатать всю цепочку, последняя переданная команда будет печатать только информацию о первом сертификате.
болтовня
1
echoсамо по себе эквивалентно echo ''.. он отправляет пустую строку в stdout. cat /dev/null |будет работать также и немного более понятен.
конопля
2
Если вы хотите просто узнать дату истечения срока действия , вы можете заменить -textна -enddate, проверьте другие опции ( openssl x509 help).
Adriaan
63

Простое решение

Это мой повседневный сценарий:

curl --insecure -v https://www.google.com 2>&1 | awk 'BEGIN { cert=0 } /^\* SSL connection/ { cert=1 } /^\*/ { if (cert) print }'

Выход:

* SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256
*    server certificate verification SKIPPED
*    server certificate status verification SKIPPED
*    common name: www.google.com (matched)
*    server certificate expiration date OK
*    server certificate activation date OK
*    certificate public key: RSA
*    certificate version: #3
*    subject: C=US,ST=California,L=Mountain View,O=Google Inc,CN=www.google.com
*    start date: Wed, 24 May 2017 17:39:15 GMT
*    expire date: Wed, 16 Aug 2017 17:13:00 GMT
*    issuer: C=US,O=Google Inc,CN=Google Internet Authority G2
*    compression: NULL
* ALPN, server accepted to use http/1.1
* Connection #0 to host www.google.com left intact
Антонио Фейтоса
источник
5
Не работает для меня, не включает даты начала / истечения срока действия.
По Лундбергу
4
С недавних изменений в curl (где-то между 49 и 52) это ничего не говорит о сертификате. :(
Росс Прессер
удалить 2> & 1
Йешан Бабуа
27

Зависит от того, какую информацию вы хотите, но:

openssl s_client -showcerts -connect gnupg.org:443

должен дать вам больше всего, хотя не так хорошо читается человеком, как Chrome представляет.

обманщик
источник
1
К сожалению, очень мало данных сертификата представлено в удобочитаемом формате этой командой.
Хокан Линдквист
9
Я не согласен с предыдущим комментарием, эта команда говорит мне, что мне нужно знать, и очень полезна. +1 за ответ.
Камдиксон
Если вы хотите протестировать TLS 1.2, вы можете добавить -tls1_2
camdixon
23
nmap -p 443 --script ssl-cert gnupg.org

В -p 443указывает отсканировать только порт 443. Все порты будут сканироваться, если он пропущен, и будут отображаться сведения о сертификате для любой найденной службы SSL. --script ssl-certГоворит скриптовый движок Nmap для запуска только ssl-certсценарий. Из документа этот скрипт «(r) извлекает SSL-сертификат сервера. Объем напечатанной информации о сертификате зависит от уровня детализации».

Образец вывода:

Starting Nmap 7.40 ( https://nmap.org ) at 2017-11-01 13:35 PDT
Nmap scan report for gnupg.org (217.69.76.60)
Host is up (0.16s latency).
Other addresses for gnupg.org (not scanned): (null)
rDNS record for 217.69.76.60: www.gnupg.org
PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=gnupg.org
| Subject Alternative Name: DNS:gnupg.org, DNS:www.gnupg.org
| Issuer: commonName=Gandi Standard SSL CA 2/organizationName=Gandi/stateOrProvinceName=Paris/countryName=FR
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2015-12-21T00:00:00
| Not valid after:  2018-03-19T23:59:59
| MD5:   c3a7 e0ed 388f 87cb ec7f fd3e 71f2 1c3e
|_SHA-1: 5196 ecf5 7aed 139f a511 735b bfb5 7534 df63 41ba

Nmap done: 1 IP address (1 host up) scanned in 2.31 seconds
Хосе Квинтейро
источник
6

Чтобы проверить сведения о сертификате SSL, я использую следующий инструмент командной строки с момента его появления:

https://github.com/azet/tls_tools

Замечательно проверить еще раз, что у вас есть вся информация, правильная для повторной выдачи сертификатов или проверки существующих, а также как мало зависимостей И это не требует настройки.

Вот как выглядят первые несколько строк вывода:

$ ./check_certificate_chain.py gnupg.org 443

>> Certificate Chain:

 [+]*       OU=Domain Control Validated, OU=Gandi Standard SSL, CN=gnupg.org
 [+]**      C=FR, O=GANDI SAS, CN=Gandi Standard SSL CA
 [+]***     C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware

>> Certificate Information:

................................................................................
- [Subject]:        OU=Domain Control Validated, OU=Gandi Standard SSL, CN=gnupg.org
- [Issuer]:     C=FR, O=GANDI SAS, CN=Gandi Standard SSL CA
- [Valid from]:     Mar 18 00:00:00 2014 GMT
- [Valid until]:    Mar 18 23:59:59 2016 GMT
- [Authority]:      Is not a CA
- [Version]:        2
- [Serial No.]:     43845251655098616578492338727643475746
- [X.509 Extension Details]:
  -- [x509_authorityKeyIdentifier]:
       keyid:B6:A8:FF:A2:A8:2F:D0:A6:CD:4B:B1:68:F3:E7:50:10:31:A7:79:21 

За этим выводом следует вся цепочка сертификатов с одинаковым уровнем детализации.

Что мне нравится, вместо того, чтобы быть ориентированным на ssl инструментом для работы с клиентами, таким как s_client в openssl, этот пытается просто выполнить ту работу, которая нам нужна в большинстве случаев. Конечно, openssl более гибок (т.е. также проверяет клиентские сертификаты, изображения на нечетных портах и ​​т. Д.), Но мне это не всегда нужно.

В качестве альтернативы, если у вас есть время покопаться в & setup или оценить дополнительные функции, есть более крупный инструмент с именем sslyze (не использующий его, так как зависимости и установка ...)

Флориан Хейгл
источник
5

Для полноты: если у вас установлена ​​система Java 7 или выше

 keytool -printcert -sslserver $host[:$port]

показывает цепочку (как показано ) почти со всеми деталями в довольно уродливом формате.

Должен ли я установить Java в вашей системе, я не отвечаю.

dave_thompson_085
источник
блестящий, намного более полезный вывод по умолчанию, чем openssl (который требует декодирования).
Симон
4

Я использую сценарий оболочки для этого. Это просто оболочка для команды openssl, которая спасает меня от запоминания синтаксиса.

Он предоставляет опции для анализа большей части информации о сертификатах, которая обычно мне интересна, или для отображения необработанного вывода openssl.

Можно запросить локальный файл сертификата или удаленный сервер.

Использование:

$ ssl-cert-info --help
Usage: ssl-cert-info [options]

This shell script is a simple wrapper around the openssl binary. It uses
s_client to get certificate information from remote hosts, or x509 for local
certificate files. It can parse out some of the openssl output or just dump all
of it as text.

Options:

  --all-info   Print all output, including boring things like Modulus and 
               Exponent.

  --alt        Print Subject Alternative Names. These will be typically be 
               additional hostnames that the certificate is valid for.

  --cn         Print commonName from Subject. This is typically the host for 
               which the certificate was issued.

  --debug      Print additional info that might be helpful when debugging this
               script.

  --end        Print certificate expiration date. For additional functionality
               related to certificate expiration, take a look at this script:
               "http://prefetch.net/code/ssl-cert-check".

  --dates      Print start and end dates of when the certificate is valid.

  --file       Use a local certificate file for input.

  --help       Print this help message.

  --host       Fetch the certificate from this remote host.

  --issuer     Print the certificate issuer.

  --most-info  Print almost everything. Skip boring things like Modulus and
               Exponent.

  --option     Pass any openssl option through to openssl to get its raw
               output.

  --port       Use this port when conneting to remote host. If ommitted, port
               defaults to 443.

  --subject    Print the certificate Subject -- typically address and org name.

Examples:

  1. Print a list of all hostnames that the certificate used by amazon.com 
     is valid for.

     ssl-cert-info --host amazon.com --alt
     DNS:uedata.amazon.com
     DNS:amazon.com
     DNS:amzn.com
     DNS:www.amzn.com
     DNS:www.amazon.com

  2. Print issuer of certificate used by smtp.gmail.com. Fetch certficate info
     over port 465.

     ssl-cert-info --host smtp.gmail.com --port 465 --issuer
     issuer= 
         countryName               = US
         organizationName          = Google Inc
         commonName                = Google Internet Authority G2

  3. Print valid dates for the certificate, using a local file as the source of 
     certificate data. Dates are formatted using the date command and display
     time in your local timezone instead of GMT.

     ssl-cert-info --file /path/to/file.crt --dates
     valid from: 2014-02-04 16:00:00 PST
     valid till: 2017-02-04 15:59:59 PST


  4. Print certificate serial number. This script doesn't have a special option
     to parse out the serial number, so will use the generic --option flag to
     pass '-serial' through to openssl.

     ssl-cert-info --host gmail.com --option -serial
     serial=4BF004B4DDC9C2F8

Вы можете получить сценарий здесь: http://giantdorks.org/alain/shell-script-to-check-ssl-certificate-info-like-expiration-date-and-subject/

Ален Келдер
источник
Ссылка мертва.
Адам Матан
4

Если вы хотите сделать это в Windows, вы можете использовать PowerShell со следующей функцией:

function Retrieve-ServerCertFromSocket ($hostname, $port=443, $SNIHeader, [switch]$FailWithoutTrust)
{
    if (!$SNIHeader) {
        $SNIHeader = $hostname
    }

    $cert = $null
    try {
        $tcpclient = new-object System.Net.Sockets.tcpclient
        $tcpclient.Connect($hostname,$port)

        #Authenticate with SSL
        if (!$FailWithoutTrust) {
            $sslstream = new-object System.Net.Security.SslStream -ArgumentList $tcpclient.GetStream(),$false, {$true}
        } else {
            $sslstream = new-object System.Net.Security.SslStream -ArgumentList $tcpclient.GetStream(),$false
        }

        $sslstream.AuthenticateAsClient($SNIHeader)
        $cert =  [System.Security.Cryptography.X509Certificates.X509Certificate2]($sslstream.remotecertificate)

     } catch {
        throw "Failed to retrieve remote certificate from $hostname`:$port because $_"
     } finally {
        #cleanup
        if ($sslStream) {$sslstream.close()}
        if ($tcpclient) {$tcpclient.close()}        
     }    
    return $cert
}

Это позволяет вам делать некоторые аккуратные вещи, такие как

#Save to file and open 
Retrieve-ServerCertFromSocket www.wrish.com 443 | Export-Certificate -FilePath C:\temp\test.cer ; start c:\temp\test.cer

#Display the cert details
Retrieve-ServerCertFromSocket www.wrish.com 443 | fl subject,*not*,Thumb*,ser*
Neossian
источник
2
nmap -sV -sC google.com -p 443
Серхио Руа
источник
3
Это требует гораздо большего объяснения.
Свен
согласен с необходимостью объяснений, но у меня это работает, поэтому +1
Джефф
2

Если вам нужна только дата истечения срока действия (которая не является точным ответом, но для которой используются сведения о сертификате Chrome - 9/10), вы можете использовать:

echo | openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -enddate

Полезно для сценариев и т. Д.

c4urself@eos ~ → which ssl_expiry
ssl_expiry () {
  echo | openssl s_client -connect ${1}:443 2> /dev/null | openssl x509 -noout -enddate
}
c4urself@eos ~ → ssl_expiry google.com
notAfter=Jun 12 16:54:00 2018 GMT
c4urself
источник