Bảo vệ máy chủ Linux của bạn: Cách kiểm tra ngày hết hạn chứng chỉ TLS/SSL. trong bài báo này, chúng ta sẽ tìm hiểu cách kiểm tra ngày hết hạn của chứng chỉ SSL/TLS từ dòng lệnh bằng ứng dụng khách OpenSSL. Ứng dụng khách OpenSSL cung cấp thông tin chi tiết về ngày hiệu lực, ngày hết hạn, và cơ quan cấp giấy chứng nhận.
Để kiểm tra ngày hết hạn của chứng chỉ SSL/TLS, mở ứng dụng Terminal và chạy lệnh sau:
openssl s_client -servername {SERVER_NAME} -connect {SERVER_NAME}:{PORT} | openssl x509 -noout -dates
Ví dụ, để tìm hiểu ngày hết hạn của chứng chỉ vì enterinit.com, chạy lệnh sau:
DOM="enterinit.com"
PORT="443"
openssl s_client -servername $DOM -connect $DOM:$PORT | openssl x509 -noout -dates
Đầu ra sẽ bao gồm thông tin về ngày bắt đầu và ngày hết hạn của chứng chỉ.
Bạn có thể thêm echo
lệnh để tránh phải nhấn CTRL+C
, như hình dưới đây:
DOM="{SITE_URL}"
PORT="443"
echo | openssl s_client -servername $DOM -connect $DOM:$PORT | openssl x509 -noout -dates
Các openssl
các tùy chọn dòng lệnh được sử dụng trong các lệnh trên như sau:
s_client
: Triển khai ứng dụng khách SSL/TLS chung kết nối với máy chủ từ xa bằng SSL/TLS.-servername $DOM
: Đặt TLS SNI (Chỉ định tên máy chủ) phần mở rộng trong thông báo ClientHello với giá trị đã cho.-connect $DOM:$PORT
: Chỉ định máy chủ ($DOM) và cổng tùy chọn ($HẢI CẢNG) để kết nối với.x509
: Chạy tiện ích ký và hiển thị chứng chỉ.-noout
: Ngăn chặn đầu ra của phiên bản được mã hóa của chứng chỉ.-dates: Prints out the start and expiry dates of a TLS or SSL certificate.
Để tìm hiểu ngày hết hạn của tệp chứng chỉ được mã hóa PEM, chạy lệnh sau:
openssl x509 -enddate -noout -in {/path/to/my/my.pem}
Ví dụ, để tìm hiểu ngày hết hạn của chứng chỉ đối với enterinit.com, chạy lệnh sau:
openssl x509 -enddate -noout -in /etc/nginx/ssl/enterinit.com
Đầu ra sẽ bao gồm ngày hết hạn của chứng chỉ.
Bạn cũng có thể kiểm tra xem chứng chỉ có hết hạn trong khung thời gian nhất định không. Ví dụ, để tìm hiểu xem chứng chỉ có hết hạn trong vòng bảy ngày tới không, chạy lệnh sau:
openssl x509 -enddate -noout -in my.pem -checkend 604800
Để kiểm tra xem chứng chỉ có hết hạn trong bốn tháng tới không, chạy lệnh sau:
openssl x509 -enddate -noout -in my.pem -checkend 10520000
Tóm tắt, OpenSSL là một công cụ chẩn đoán mạnh mẽ cung cấp thông tin hữu ích về chứng chỉ SSL/TLS. Nó giúp bạn đảm bảo rằng các chứng chỉ hợp lệ và cập nhật, và có biện pháp xử lý kịp thời khi cần thiết.