Захист вашого сервера Linux: Як перевірити термін дії сертифіката TLS/SSL. У цій статті, ми навчимося перевіряти термін дії сертифіката SSL/TLS з командного рядка за допомогою клієнта OpenSSL. Клієнт OpenSSL надає детальну інформацію про терміни дії, терміни придатності, та орган, що видав сертифікат.
Щоб перевірити дату закінчення терміну дії сертифіката SSL/TLS, відкрийте програму Terminal і виконайте таку команду:
openssl s_client -servername {SERVER_NAME} -connect {SERVER_NAME}:{PORT} | openssl x509 -noout -dates
Наприклад, щоб дізнатися термін дії сертифіката для enterinit.com, запустіть наступну команду:
DOM="enterinit.com"
PORT="443"
openssl s_client -servername $DOM -connect $DOM:$PORT | openssl x509 -noout -dates
Результат міститиме інформацію про дати початку та закінчення терміну дії сертифіката.
Ви можете додати echo
щоб уникнути необхідності натискати CTRL+C
, як показано нижче:
DOM="{SITE_URL}"
PORT="443"
echo | openssl s_client -servername $DOM -connect $DOM:$PORT | openssl x509 -noout -dates
The openssl
Параметри командного рядка, які використовуються у наведених вище командах, такі:
s_client
: Реалізує загальний клієнт SSL/TLS, який підключається до віддаленого хосту за допомогою SSL/TLS.-servername $DOM
: Встановлює TLS SNI (Індикація імені сервера) розширення в повідомленні ClientHello до вказаного значення.-connect $DOM:$PORT
: Вказує хост ($DOM) і додатковий порт ($ПОРТ) для підключення.x509
: Запускає утиліту відображення та підписання сертифікатів.-noout
: Запобігає виводу закодованої версії сертифіката.-dates: Prints out the start and expiry dates of a TLS or SSL certificate.
Щоб дізнатися термін дії файлу сертифіката, закодованого PEM, запустіть наступну команду:
openssl x509 -enddate -noout -in {/path/to/my/my.pem}
Наприклад, щоб дізнатися термін дії сертифіката для enterinit.com, запустіть наступну команду:
openssl x509 -enddate -noout -in /etc/nginx/ssl/enterinit.com
Вихідні дані включатимуть дату закінчення терміну дії сертифіката.
Ви також можете перевірити, чи закінчиться термін дії сертифіката протягом заданого періоду часу. Наприклад, щоб дізнатися, чи закінчиться термін дії сертифіката протягом наступних семи днів, запустіть наступну команду:
openssl x509 -enddate -noout -in my.pem -checkend 604800
Щоб перевірити, чи закінчиться термін дії сертифіката протягом наступних чотирьох місяців, запустіть наступну команду:
openssl x509 -enddate -noout -in my.pem -checkend 10520000
Підсумовуючи, OpenSSL — це потужний інструмент діагностики, який надає корисну інформацію про сертифікати SSL/TLS. Це допоможе вам переконатися, що сертифікати дійсні та актуальні, і вчасно вжити заходів, коли це необхідно.