Soru CLI araçlarını kullanarak uzak SSL sertifikası ayrıntılarını görüntüleme


Chrome'da, yeşil HTTPS kilit simgesine tıklayarak sertifika ayrıntılarını içeren bir pencere açılır:

enter image description here

Aynısını cURL ile denediğimde, sadece bazı bilgileri aldım:

$ curl -vvI https://gnupg.org
* Rebuilt URL to: https://gnupg.org/
* Hostname was NOT found in DNS cache
*   Trying 217.69.76.60...
* Connected to gnupg.org (217.69.76.60) port 443 (#0)
* TLS 1.2 connection using TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* Server certificate: gnupg.org
* Server certificate: Gandi Standard SSL CA
* Server certificate: UTN-USERFirst-Hardware
> HEAD / HTTP/1.1
> User-Agent: curl/7.37.1
> Host: gnupg.org
> Accept: */*

Tam sertifika bilgisini nasıl alacağınıza dair herhangi bir fikir, bir komut satırı aracı (cURL veya diğer) oluşturur?


130
2018-01-23 22:13


Menşei


Ayrıca bakınız stackoverflow.com/questions/7885785/... - Vadzim
Muhtemelen versiyona da bağlı. Benim akımım curl bayrakla --verbose sunucu sertifikası içeriğinin tamamını gösterir. - Patrick Mevzek


Cevaplar:


Amacınız için OpenSSL kullanabilmeniz gerekir:

echo | openssl s_client -showcerts -servername gnupg.org -connect gnupg.org:443 2>/dev/null | openssl x509 -inform pem -noout -text

Bu komut istenen web sitesine bağlanır ve sertifikayı PEM formatında, ayrıntıları okuyan ve ayrıştıran başka bir openssl komutuna aktarır.

("Gereksiz" olduğunu unutmayın -servername parametre yapmak için gereklidir openssl SNI desteğiyle bir istekte bulunun.)


183
2018-01-23 22:26



Bu komutla ilgili bir hata var gibi görünüyor: OpenSSL> openssl:Error: 'CONNECTED(00000003)' is an invalid command. - Adam Matan
@AdamMatan İkinci borudan sonra tam komutu eklediniz mi? Hata mesajı, ikinci openssl çağrısının interaktif modda çalışmasına benziyor (örn. openssl vs openssl x509 -inform pem -noout -text). Pedro'nun yazdığı şey benim için iyi çalışıyor. - Håkan Lindqvist
S_client tüm zinciri yazdıracaktır, son piped komutu sadece ilk sertifika hakkında bilgi basacaktır. - chutz
echo kendi başına eşdeğerdir echo '' .. stdout'a boş bir dize gönderir. cat /dev/null | Ayrıca çalışır ve biraz daha kendini açıklayıcıdır. - hemp
Eğer sadece bilmek istiyorsanız son kullanma tarihi, değiştirebilirsiniz -text ile -enddate, diğer seçenekleri kontrol et (openssl x509 help). - adriaan


Basit bir çözüm

Bu benim günlük yazım:

curl --insecure -v https://www.google.com 2>&1 | awk 'BEGIN { cert=0 } /^\* SSL connection/ { cert=1 } /^\*/ { if (cert) print }'

Çıktı:

* SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256
*    server certificate verification SKIPPED
*    server certificate status verification SKIPPED
*    common name: www.google.com (matched)
*    server certificate expiration date OK
*    server certificate activation date OK
*    certificate public key: RSA
*    certificate version: #3
*    subject: C=US,ST=California,L=Mountain View,O=Google Inc,CN=www.google.com
*    start date: Wed, 24 May 2017 17:39:15 GMT
*    expire date: Wed, 16 Aug 2017 17:13:00 GMT
*    issuer: C=US,O=Google Inc,CN=Google Internet Authority G2
*    compression: NULL
* ALPN, server accepted to use http/1.1
* Connection #0 to host www.google.com left intact

43
2018-01-15 13:23



Benim için çalışmaz, başlangıç ​​/ son kullanma tarihlerini içermez. - Per Lundberg
Curl'deki bazı son değişikliklerden (49 ile 52 arasında bir yerde) bu yana, bu sertifika hakkında hiçbir şey göstermiyor. :( - Ross Presser
2> & 1'i kaldırın - Jeshan Babooa
ÇALIŞIYOR bir cazibe gibi! Teşekkürler :-) - Rahul Soni


Ne tür bilgi istediğinize bağlı, ama:

openssl s_client -showcerts -connect gnupg.org:443

Chrome'un sunduğu gibi güzel okunabilir olmasa da, size en çok vermelidir.


17
2018-01-23 22:20



Maalesef, sertifika verisinin çok azı bu komutla insan tarafından okunabilir formatta sunulmaktadır. - Håkan Lindqvist
Önceki yorum ile katılmıyorum, bu komut bana bilmem gereken şeyi anlatıyor ve çok faydalı. Cevap için +1. - camdixon
Eğer TLS 1.2'yi test etmek istiyorsanız, -tls1_2'yi ekleyebilirsiniz. - camdixon


nmap -p 443 --script ssl-cert gnupg.org

-p 443 sadece bağlantı noktası 443'ü belirtir. Tüm bağlantı noktaları atlanırsa taranır ve bulunan herhangi bir SSL hizmetinin sertifika ayrıntıları görüntülenir. --script ssl-cert söyler Nmap komut dosyası motoru sadece çalıştırmak ssl-cert senaryo. Dokümandan, bu betik "(r) bir sunucunun SSL sertifikasını kaldırır. Sertifika hakkında basılan bilgi miktarı, ayrıntı düzeyine bağlıdır."

Örnek çıkış:

Starting Nmap 7.40 ( https://nmap.org ) at 2017-11-01 13:35 PDT
Nmap scan report for gnupg.org (217.69.76.60)
Host is up (0.16s latency).
Other addresses for gnupg.org (not scanned): (null)
rDNS record for 217.69.76.60: www.gnupg.org
PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=gnupg.org
| Subject Alternative Name: DNS:gnupg.org, DNS:www.gnupg.org
| Issuer: commonName=Gandi Standard SSL CA 2/organizationName=Gandi/stateOrProvinceName=Paris/countryName=FR
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2015-12-21T00:00:00
| Not valid after:  2018-03-19T23:59:59
| MD5:   c3a7 e0ed 388f 87cb ec7f fd3e 71f2 1c3e
|_SHA-1: 5196 ecf5 7aed 139f a511 735b bfb5 7534 df63 41ba

Nmap done: 1 IP address (1 host up) scanned in 2.31 seconds

15
2017-11-01 20:37





SSL sertifikası ayrıntılarını kontrol etmek için, mevcut duruma geldiğinden beri aşağıdaki komut satırı aracını kullanıyorum:

https://github.com/azet/tls_tools

Yeniden yayınlayan sertifikalar veya mevcut olanları doğrulamak için tüm bilgilerin doğru olduğunu ve ayrıca birkaç bağımlılık olduğunu iki kez kontrol etmek harika bir şeydir. VE kurulum gerektirmez.

Çıkışın ilk birkaç satırı şöyle:

$ ./check_certificate_chain.py gnupg.org 443

>> Certificate Chain:

 [+]*       OU=Domain Control Validated, OU=Gandi Standard SSL, CN=gnupg.org
 [+]**      C=FR, O=GANDI SAS, CN=Gandi Standard SSL CA
 [+]***     C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware

>> Certificate Information:

................................................................................
- [Subject]:        OU=Domain Control Validated, OU=Gandi Standard SSL, CN=gnupg.org
- [Issuer]:     C=FR, O=GANDI SAS, CN=Gandi Standard SSL CA
- [Valid from]:     Mar 18 00:00:00 2014 GMT
- [Valid until]:    Mar 18 23:59:59 2016 GMT
- [Authority]:      Is not a CA
- [Version]:        2
- [Serial No.]:     43845251655098616578492338727643475746
- [X.509 Extension Details]:
  -- [x509_authorityKeyIdentifier]:
       keyid:B6:A8:FF:A2:A8:2F:D0:A6:CD:4B:B1:68:F3:E7:50:10:31:A7:79:21 

Bu çıktıyı tüm sertifika zinciri aynı detay düzeyinde takip eder.

Openssl's s_client gibi ssl-centric bir uç araç olmak yerine, bu, çoğu zaman ihtiyacımız olan tek işi yapmaya çalışır. Elbette openssl daha esnektir (diğer bir deyişle müşteri adaylarını, tek portları, vb. De kontrol ediyor) - ama her zaman buna ihtiyacım yok.

Alternatif olarak, daha fazla özellik kazmak ve kurmak ya da takdir etmek için zamanınız varsa, sslyze adında daha büyük bir araç var (bağımlılıktan ve yüklemeden beri kullanmıyor ...)


5
2018-01-24 01:34





Bunun için bir kabuk betiği kullanıyorum. Bu sadece openssl komutunun etrafındaki bir yazıcının sözdizimini hatırlamaktan kurtarır.

Genelde ilgilendiğim sertifika bilgilerinin çoğunu ayrıştırmak veya ham openssl çıktısını görüntülemek için seçenekler sağlar.

Yerel bir sertifika dosyasını veya uzak bir sunucuyu sorgulayabilir.

Kullanımı:

$ ssl-cert-info --help
Usage: ssl-cert-info [options]

This shell script is a simple wrapper around the openssl binary. It uses
s_client to get certificate information from remote hosts, or x509 for local
certificate files. It can parse out some of the openssl output or just dump all
of it as text.

Options:

  --all-info   Print all output, including boring things like Modulus and 
               Exponent.

  --alt        Print Subject Alternative Names. These will be typically be 
               additional hostnames that the certificate is valid for.

  --cn         Print commonName from Subject. This is typically the host for 
               which the certificate was issued.

  --debug      Print additional info that might be helpful when debugging this
               script.

  --end        Print certificate expiration date. For additional functionality
               related to certificate expiration, take a look at this script:
               "http://prefetch.net/code/ssl-cert-check".

  --dates      Print start and end dates of when the certificate is valid.

  --file       Use a local certificate file for input.

  --help       Print this help message.

  --host       Fetch the certificate from this remote host.

  --issuer     Print the certificate issuer.

  --most-info  Print almost everything. Skip boring things like Modulus and
               Exponent.

  --option     Pass any openssl option through to openssl to get its raw
               output.

  --port       Use this port when conneting to remote host. If ommitted, port
               defaults to 443.

  --subject    Print the certificate Subject -- typically address and org name.

Examples:

  1. Print a list of all hostnames that the certificate used by amazon.com 
     is valid for.

     ssl-cert-info --host amazon.com --alt
     DNS:uedata.amazon.com
     DNS:amazon.com
     DNS:amzn.com
     DNS:www.amzn.com
     DNS:www.amazon.com

  2. Print issuer of certificate used by smtp.gmail.com. Fetch certficate info
     over port 465.

     ssl-cert-info --host smtp.gmail.com --port 465 --issuer
     issuer= 
         countryName               = US
         organizationName          = Google Inc
         commonName                = Google Internet Authority G2

  3. Print valid dates for the certificate, using a local file as the source of 
     certificate data. Dates are formatted using the date command and display
     time in your local timezone instead of GMT.

     ssl-cert-info --file /path/to/file.crt --dates
     valid from: 2014-02-04 16:00:00 PST
     valid till: 2017-02-04 15:59:59 PST


  4. Print certificate serial number. This script doesn't have a special option
     to parse out the serial number, so will use the generic --option flag to
     pass '-serial' through to openssl.

     ssl-cert-info --host gmail.com --option -serial
     serial=4BF004B4DDC9C2F8

Komut dosyasını buradan alabilirsiniz: http://giantdorks.org/alain/shell-script-to-check-ssl-certificate-info-like-expiration-date-and-subject/


3
2017-09-08 19:37



Bağlantı öldü. - Adam Matan


Bunu Windows'ta yapmak isterseniz, PowerShell'i aşağıdaki işlevle kullanabilirsiniz:

function Retrieve-ServerCertFromSocket ($hostname, $port=443, $SNIHeader, [switch]$FailWithoutTrust)
{
    if (!$SNIHeader) {
        $SNIHeader = $hostname
    }

    $cert = $null
    try {
        $tcpclient = new-object System.Net.Sockets.tcpclient
        $tcpclient.Connect($hostname,$port)

        #Authenticate with SSL
        if (!$FailWithoutTrust) {
            $sslstream = new-object System.Net.Security.SslStream -ArgumentList $tcpclient.GetStream(),$false, {$true}
        } else {
            $sslstream = new-object System.Net.Security.SslStream -ArgumentList $tcpclient.GetStream(),$false
        }

        $sslstream.AuthenticateAsClient($SNIHeader)
        $cert =  [System.Security.Cryptography.X509Certificates.X509Certificate2]($sslstream.remotecertificate)

     } catch {
        throw "Failed to retrieve remote certificate from $hostname`:$port because $_"
     } finally {
        #cleanup
        if ($sslStream) {$sslstream.close()}
        if ($tcpclient) {$tcpclient.close()}        
     }    
    return $cert
}

Bu sizin gibi bazı temiz şeyler yapmanızı sağlar

#Save to file and open 
Retrieve-ServerCertFromSocket www.wrish.com 443 | Export-Certificate -FilePath C:\temp\test.cer ; start c:\temp\test.cer

#Display the cert details
Retrieve-ServerCertFromSocket www.wrish.com 443 | fl subject,*not*,Thumb*,ser*

3
2017-12-14 16:06