Wer einen Server mit TLS/SSL Verschlüsslung betreibt, der muss dafür ein Zertifikat mit einer begrenzten Laufzeit erstellen. Das Zertifikat muss vor dem Ende der Laufzeit ersetzt werden, sonst gibt es Fehlermeldungen im Browser. Hier möchte ich einige Beispiel zeigen, wie man die Laufzeit überprüfen kann.
Hiermit können wir uns die Lautzeit ausgeben lassen.
echo Q | openssl s_client -connect www.google.com:443 2>/dev/null | openssl x509 -noout -dates |
Hier geben wir uns nur das Laufzeitende vom Zertifikat aus.
date --date="$(echo Q | openssl s_client -connect www.google.com:443 2>/dev/null | openssl x509 -noout -enddate |cut -d= -f 2)" --iso-8601 |
Wir können auch alle Zertifikate speichern.
echo Q | openssl s_client -connect www.google.com:443 -showcerts > chain.pem |
Auch hier kann man sich das Datum ausgeben lassen.
gawk 'BEGIN { pipe="openssl x509 -noout -subject -dates -serial "} \ /^-+BEGIN CERT/,/^-+END CERT/ { print | pipe } /^-+END CERT/ { close(pipe); printf("\n")} ' chain.pem |
Wir wollen jetzt nur das Server Zertifikat extrahieren und noch einmal prüfen, ob es wirklich zu der CA valide ist.
sed -n '/-BEGIN/,/-END/p;/-END/q' chain.pem > site.pem openssl verify -verbose -CAfile chain.pem site.pem cat site.pem |openssl x509 -noout -enddate |
Befindet man sich hinter einem Proxy Server, braucht das Programm „proxytunnel“.
proxytunnel -p yourproxy:8080 -d www.google.com:443 -a 7000 openssl s_client -connect localhost:7000 -showcerts |
Schreibe einen Kommentar