मैं इस ओपनएसएसएल कमांड का उपयोग करके एसएसएल प्रमाणपत्रों की समाप्ति तिथि पता कर सकता हूं:
openssl x509 -noout -in <filename> -enddate
लेकिन अगर प्रमाण पत्र विभिन्न वेब सर्वरों पर बिखरे हुए हैं, तो आप सभी सर्वरों पर इन सभी प्रमाणपत्रों की समाप्ति तिथियों को कैसे पाते हैं?
ऐसा लगता है कि अन्य होस्ट से कनेक्ट करने का एक तरीका है, लेकिन मुझे यकीन नहीं है कि इसका उपयोग करने की समाप्ति तिथि कैसे प्राप्त करें:
openssl s_client -connect host:port
जवाबों:
मेरे पास एक ही मुद्दा था और यह लिखा ... यह त्वरित और गंदा है, लेकिन काम करना चाहिए। यह लॉग करेगा (और डिबगिंग के साथ स्क्रीन पर प्रिंट करें) किसी भी सीट्स को जो अभी तक मान्य नहीं हैं या अगले 90 दिनों में समाप्त हो रहे हैं। कुछ कीड़े हो सकते हैं, लेकिन इसे साफ करने के लिए स्वतंत्र महसूस करें।
#!/bin/sh
DEBUG=false
warning_days=90 # Number of days to warn about soon-to-expire certs
certs_to_check='serverA.test.co.uk:443
serverB.test.co.uk:8140
serverC.test.co.uk:443'
for CERT in $certs_to_check
do
$DEBUG && echo "Checking cert: [$CERT]"
output=$(echo | openssl s_client -connect ${CERT} 2>/dev/null |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates 2>/dev/null)
if [ "$?" -ne 0 ]; then
$DEBUG && echo "Error connecting to host for cert [$CERT]"
logger -p local6.warn "Error connecting to host for cert [$CERT]"
continue
fi
start_date=$(echo $output | sed 's/.*notBefore=\(.*\).*not.*/\1/g')
end_date=$(echo $output | sed 's/.*notAfter=\(.*\)$/\1/g')
start_epoch=$(date +%s -d "$start_date")
end_epoch=$(date +%s -d "$end_date")
epoch_now=$(date +%s)
if [ "$start_epoch" -gt "$epoch_now" ]; then
$DEBUG && echo "Certificate for [$CERT] is not yet valid"
logger -p local6.warn "Certificate for $CERT is not yet valid"
fi
seconds_to_expire=$(($end_epoch - $epoch_now))
days_to_expire=$(($seconds_to_expire / 86400))
$DEBUG && echo "Days to expiry: ($days_to_expire)"
warning_seconds=$((86400 * $warning_days))
if [ "$seconds_to_expire" -lt "$warning_seconds" ]; then
$DEBUG && echo "Cert [$CERT] is soon to expire ($seconds_to_expire seconds)"
logger -p local6.warn "cert [$CERT] is soon to expire ($seconds_to_expire seconds)"
fi
done
यदि OS X का उपयोग किया जाता है, तो आप पा सकते हैं कि dateकमांड सही तरीके से काम नहीं करता है। यह इस उपयोगिता के यूनिक्स और लिनक्स संस्करण में अंतर के कारण है । लिंक किए गए पोस्ट में यह काम करने के लिए विकल्प हैं।
-servernameतर्क को शामिल करने की आवश्यकता है , जैसे:openssl s_client -servername example.com -connect example.com:443
बस नीचे कमांड चलाएँ और यह समाप्ति तिथि प्रदान करेगा:
echo q | openssl s_client -connect google.com.br:443 | openssl x509 -noout -enddate
अधिक दूरस्थ सर्वर के लिए इस जानकारी को इकट्ठा करने के लिए, आप इस कमांड का उपयोग बैच फ़ाइल में कर सकते हैं।
-servernameतर्क का उपयोग करने की आवश्यकता है , इस तरह:openssl s_client -servername google.com.br -connect google.com.br:443
नीचे मेरी स्क्रिप्ट है कि नागों के भीतर एक जांच के रूप में। यह एक विशिष्ट होस्ट से जुड़ता है, यह पुष्टि करता है कि प्रमाणपत्र -c / -w विकल्पों द्वारा निर्धारित सीमा के भीतर मान्य है। यह जाँच कर सकता है कि प्रमाणपत्र का CN आपके द्वारा अपेक्षित नाम से मेल खाता है।
आपको अजगर ओपनसेल लाइब्रेरी की आवश्यकता है, और मैंने अजगर 2.7 के साथ सभी परीक्षण किए।
यह कई बार एक शेल स्क्रिप्ट कॉल करने के लिए तुच्छ होगा। स्क्रिप्ट महत्वपूर्ण / चेतावनी / ठीक स्थिति के लिए मानक नागोसे निकास मान लौटाता है।
Google के प्रमाणपत्र की एक सरल जांच इस तरह की जा सकती है।
./check_ssl_certificate -H www.google.com -p 443 -n www.google.com
Expire OK[108d] - CN OK - cn:www.google.com
check_ssl_certificate
#!/usr/bin/python
"""
Usage: check_ssl_certificate -H <host> -p <port> [-m <method>]
[-c <days>] [-w <days>]
-h show the help
-H <HOST> host/ip to check
-p <port> port number
-m <method> (SSLv2|SSLv3|SSLv23|TLSv1) defaults to SSLv23
-c <days> day threshold for critical
-w <days> day threshold for warning
-n name Check CN value is valid
"""
import getopt,sys
import __main__
from OpenSSL import SSL
import socket
import datetime
# On debian Based systems requires python-openssl
def get_options():
"get options"
options={'host':'',
'port':'',
'method':'SSLv23',
'critical':5,
'warning':15,
'cn':''}
try:
opts, args = getopt.getopt(sys.argv[1:], "hH:p:m:c:w:n:", ['help', "host", 'port', 'method'])
except getopt.GetoptError as err:
# print help information and exit:
print str(err) # will print something like "option -a not recognized"
usage()
sys.exit(2)
for o, a in opts:
if o in ("-h", "--help"):
print __main__.__doc__
sys.exit()
elif o in ("-H", "--host"):
options['host'] = a
pass
elif o in ("-p", "--port"):
options['port'] = a
elif o in ("-m", "--method"):
options['method'] = a
elif o == '-c':
options['critical'] = int(a)
elif o == '-w':
options['warning'] = int(a)
elif o == '-n':
options['cn'] = a
else:
assert False, "unhandled option"
if (''==options['host'] or
''==options['port']):
print __main__.__doc__
sys.exit()
if options['critical'] >= options['warning']:
print "Critical must be smaller then warning"
print __main__.__doc__
sys.exit()
return options
def main():
options = get_options()
# Initialize context
if options['method']=='SSLv3':
ctx = SSL.Context(SSL.SSLv3_METHOD)
elif options['method']=='SSLv2':
ctx = SSL.Context(SSL.SSLv2_METHOD)
elif options['method']=='SSLv23':
ctx = SSL.Context(SSL.SSLv23_METHOD)
else:
ctx = SSL.Context(SSL.TLSv1_METHOD)
# Set up client
sock = SSL.Connection(ctx, socket.socket(socket.AF_INET, socket.SOCK_STREAM))
sock.connect((options['host'], int(options['port'])))
# Send an EOF
try:
sock.send("\x04")
sock.shutdown()
peer_cert=sock.get_peer_certificate()
sock.close()
except SSL.Error,e:
print e
exit_status=0
exit_message=[]
cur_date = datetime.datetime.utcnow()
cert_nbefore = datetime.datetime.strptime(peer_cert.get_notBefore(),'%Y%m%d%H%M%SZ')
cert_nafter = datetime.datetime.strptime(peer_cert.get_notAfter(),'%Y%m%d%H%M%SZ')
expire_days = int((cert_nafter - cur_date).days)
if cert_nbefore > cur_date:
if exit_status < 2:
exit_status = 2
exit_message.append('C: cert is not valid')
elif expire_days < 0:
if exit_status < 2:
exit_status = 2
exit_message.append('Expire critical (expired)')
elif options['critical'] > expire_days:
if exit_status < 2:
exit_status = 2
exit_message.append('Expire critical')
elif options['warning'] > expire_days:
if exit_status < 1:
exit_status = 1
exit_message.append('Expire warning')
else:
exit_message.append('Expire OK')
exit_message.append('['+str(expire_days)+'d]')
for part in peer_cert.get_subject().get_components():
if part[0]=='CN':
cert_cn=part[1]
if options['cn']!='' and options['cn'].lower()!=cert_cn.lower():
if exit_status < 2:
exit_status = 2
exit_message.append(' - CN mismatch')
else:
exit_message.append(' - CN OK')
exit_message.append(' - cn:'+cert_cn)
print ''.join(exit_message)
sys.exit(exit_status)
if __name__ == "__main__":
main()
होस्ट से कनेक्ट करें: पोर्ट, सेड के साथ प्रमाणपत्र निकालें और इसे /tmp/host.port.pem पर लिखें।
दिए गए pem फ़ाइल को पढ़ें और एक बैश वैरिएबल के रूप में महत्वपूर्ण कुंजी का मूल्यांकन करें। फिर फ़ाइल नाम और दिनांक को मुद्रित करें जब वह किसी दिए गए स्थान पर समाप्त हो जाए।
कुछ इनपुट फ़ाइल में बदलाव करें और उपरोक्त कार्यों को चलाएं।
#!/bin/bash
get_pem () {
openssl s_client -connect $1:$2 < /dev/null |& \
sed -n '/BEGIN CERTIFICATE/,/END CERTIFICATE/w'/tmp/$1.$2.pem
}
get_expiration_date () {
local pemfile=$1 notAfter
if [ -s $pemfile ]; then
eval `
openssl x509 -noout -enddate -in /tmp/$pemfile |
sed -E 's/=(.*)/="\1"/'
`
printf "%40s: " $pemfile
LC_ALL=ru_RU.utf-8 date -d "$notAfter" +%c
else
printf "%40s: %s\n" $pemfile '???'
fi
}
get_pem_expiration_dates () {
local pemfile server port
while read host; do
pemfile=${host/ /.}.pem
server=${host% *}
port=${host#* }
if [ ! -f /tmp/$pemfile ]; then get_pem $server $port; fi
if [ -f /tmp/$pemfile ]; then get_expiration_date $pemfile; fi
done < ${1:-input.txt}
}
if [ -f "$1" ]; then
get_pem_expiration_dates "$1" ; fi
$ sh check.pems.sh input.txt
www.google.com.443.pem: Пн. 30 дек. 2013 01:00:00
superuser.com.443.pem: Чт. 13 марта 2014 13:00:00
slashdot.org.443.pem: Сб. 24 мая 2014 00:49:50
movielens.umn.edu.443.pem: ???
$ cat input.txt
www.google.com 443
superuser.com 443
slashdot.org 443
movielens.umn.edu 443
और आपके प्रश्न का उत्तर देने के लिए:
$ openssl s_client -connect www.google.com:443 </dev/null |& \
sed -n '/BEGIN CERTIFICATE/,/END CERTIFICATE/p' | \
openssl x509 -noout -enddate |& \
grep ^notAfter
-servernameतर्क को शामिल करने की आवश्यकता है , जैसे:openssl s_client -servername example.com -connect example.com:443
यहां स्वीकृत उत्तर का एक-लाइनर संस्करण है, जो कि शेष दिनों की संख्या को आउटपुट करता है:
( export DOMAIN=example.com; echo $(( ( $(date +%s -d "$( echo | openssl s_client -servername $DOMAIN -connect $DOMAIN:443 2>/dev/null | openssl x509 -noout -enddate | sed 's/.*notAfter=\(.*\)$/\1/g' )" ) - $(date +%s) ) / 86400 )) )
Www.github.com के साथ उदाहरण:
$ ( export DOMAIN=www.github.com; echo $(( ( $(date +%s -d "$( echo | openssl s_client -servername $DOMAIN -connect $DOMAIN:443 2>/dev/null | openssl x509 -noout -enddate | sed 's/.*notAfter=\(.*\)$/\1/g' )" ) - $(date +%s) ) / 86400 )) )
210
( ... )सिंटैक्स बैश के लिए विशिष्ट हो सकता है; मुझे लगता है कि आप एक अलग शेल का उपयोग कर रहे हैं?
होस्टनाम की सूची को प्रारूप होस्टनाम में पोर्ट 443 के साथ दें: फ़ाइल में पोर्ट और इसे फ़ाइल नाम के रूप में दें।
फ़ाइल नाम = / जड़ / KNS / प्रमाणपत्र
date1 = $ (तारीख | कट -d "" -f2,3,6)
currentDate = $ (तारीख -d "$ date1" + "% Y% m% d")
जबकि पढ़ें -r लाइन करते हैं
dcert = $ (प्रतिध्वनि | Opensl s_client -servername $ line -connect $ line 2> / dev / null | Opensl x509 -noout -dates | grep notAfter। cut -d = -f2)
इको होस्टनाम: $ लाइन एंडडेट = $ (दिनांक -d "$ dcert" + "% Y% m% d")
d1 = $ (दिनांक -d "$ endDate" +% s) d2 = $ (दिनांक -D "$ currentDate" +% s) प्रतिध्वनि होस्टनाम: $ पंक्ति - दिन शेष $ ((d1 - d2 / 86400))
इको $ dcert किया <"$ फ़ाइलनाम"