Comment faire pour déterminer le protocole SSL cert de la date d'expiration d'un PEM certificat codé?

Si j'ai le fichier, et un shell Bash sous Mac ou Linux, comment puis-je interroger le fichier cert pour la date d'expiration? Pas un site web, mais en fait le fichier de certificat lui-même, en supposant que j'ai la rse, clé, pem et de la chaîne des fichiers.

InformationsquelleAutor GL2014 | 2014-01-23
  1. 554

    Avec openssl:

    openssl x509 -enddate -noout -in file.pem

    La sortie est sur la forme:

    notAfter=Nov  3 22:23:50 2014 GMT

    Voir aussi MikeW réponse pour savoir comment vérifier facilement si le certificat a expiré ou n'est pas, ou si elle sera à l'intérieur d'une certaine période de temps, sans avoir à analyser la date ci-dessus.

    • Vous avez également la -startdate et -enddate options intégrées dans le x509 utilitaire. Ils vous permettront d'économiser de l' grep.
    • Pour moi, il fonctionne avec le fichier.crt Ubuntu 17.04
    • cela fonctionne aussi si le fichier n'est pas au format pem. fonctionne très bien pour le serveur.crt
    InformationsquelleAutor that other guy
  2. 146

    Si vous voulez simplement savoir si le certificat a expiré (ou vont le faire dans les N secondes), le -checkend <seconds> option pour openssl x509 va vous dire:

    if openssl x509 -checkend 86400 -noout -in file.pem
then
  echo "Certificate is good for another day!"
else
  echo "Certificate has expired or will do so within 24 hours!"
  echo "(or is invalid/not found)"
fi

    Cela évite d'avoir à faire date/heure des comparaisons de vous-même.

    openssl retourne un code de sortie de 0 (zéro) si le certificat n'a pas expiré et ne le sera pas pour la prochaine 86400 secondes dans l'exemple ci-dessus. Si le certificat est expiré ou a déjà fait - ou de quelque autre erreur comme un invalide/fichier inexistant - le code de retour est 1.

    (Bien sûr, il suppose que la date/l'heure est correctement réglée)

    • Pour déterminer si un certificat est expiré, l'utilisation d'une durée de zéro seconde. Omettre le -noout option pour voir un message utile à l'aide d'une seule commande sans supplément de la logique. E. g., openssl x509 -checkend 0 -in file.pem donnera le résultat "Certificat expire" ou "Certificat n'expirera pas" indiquant si le certificat expire à zéro des secondes.
    • Merci! C'est exactement ce dont j'avais besoin! Avec les codes de sortie, il va en faire un beaucoup plus petit/plus propre programme.
    InformationsquelleAutor MikeW
  3. 18

    Voici ma ligne de commande bash à la liste de plusieurs certificats dans l'ordre de leur expiration, plus récemment, qui expire en premier.

    for pem in /etc/ssl/certs/*.pem; do 
   printf '%s: %s\n' \
      "$(date --date="$(openssl x509 -enddate -noout -in "$pem"|cut -d= -f 2)" --iso-8601)" \
      "$pem"
done | sort

    Exemple de sortie:

    2015-12-16: /etc/ssl/certs/Staat_der_Nederlanden_Root_CA.pem
2016-03-22: /etc/ssl/certs/CA_Disig.pem
2016-08-14: /etc/ssl/certs/EBG_Elektronik_Sertifika_Hizmet_S.pem
    • Très sympa! C'est ce que je recherchais. Maintenant, j'ai une vue d'ensemble de la certificiates que je dois renouveler bientôt. Enregistré comme checkcerts.sh dans mon dossier afin que je puisse les consulter de manière régulière. La prochaine chose serait d'avoir une tâche CRON pour vérifier tous les mois et e-mail les certificats qui doivent être renouvelées.
    • Très utile merci. J'utilise cette tâche cron 0 7 * * 1 /path/to/cert.sh | mail -s "certbot" [email protected]
    InformationsquelleAutor Nicholas Sushkin
  4. 8

    Voici un bash fonction qui vérifie l'ensemble de vos serveurs, en supposant que vous êtes à l'aide de DNS round-robin. À noter que cela nécessite GNU date et ne fonctionne pas sur Mac OS

    function check_certs () {
  if [ -z "$1" ]
  then
    echo "domain name missing"
    exit 1
  fi
  name="$1"
  shift

  now_epoch=$( date +%s )

  dig +noall +answer $name | while read _ _ _ _ ip;
  do
    echo -n "$ip:"
    expiry_date=$( echo | openssl s_client -showcerts -servername $name -connect $ip:443 2>/dev/null | openssl x509 -inform pem -noout -enddate | cut -d "=" -f 2 )
    echo -n " $expiry_date";
    expiry_epoch=$( date -d "$expiry_date" +%s )
    expiry_days="$(( ($expiry_epoch - $now_epoch) /(3600 * 24) ))"
    echo "    $expiry_days days"
  done
}

    Exemple de sortie:

    $ check_certs stackoverflow.com
151.101.1.69: Aug 14 12:00:00 2019 GMT    603 days
151.101.65.69: Aug 14 12:00:00 2019 GMT    603 days
151.101.129.69: Aug 14 12:00:00 2019 GMT    603 days
151.101.193.69: Aug 14 12:00:00 2019 GMT    603 days
    • étonnamment osx 10.13.4 exécute votre shell OK ( ne me jugez pas, je ne suis que sur osx aujourd'hui de pousser une application à l'app store ... redémarrage de linux peu de temps 😉
    • Nous sommes en juger 😛 . J'utilise Mac beaucoup, mais Linux est vraiment beaucoup mieux.
    • Merci beaucoup pour ce code snippit! Ce une tâche ennuyeuse :), je souhaite qu'il y ait un unixtime timestamp drapeau pour openssl.
    InformationsquelleAutor Andrew
  5. 2

    Pour MAC OSX (El Capitan) Cette modification de Nicholas' exemple a travaillé pour moi.

    for pem in /path/to/certs/*.pem; do
    printf '%s: %s\n' \
        "$(date -jf "%b %e %H:%M:%S %Y %Z" "$(openssl x509 -enddate -noout -in "$pem"|cut -d= -f 2)" +"%Y-%m-%d")" \
    "$pem";
done | sort

    Exemple De Sortie:

    2014-12-19: /path/to/certs/MDM_Certificate.pem
2015-11-13: /path/to/certs/MDM_AirWatch_Certificate.pem

    macOS n'a pas, comme le --date= ou --iso-8601 drapeaux sur mon système.

    • Comment auriez-vous fait si vous n'aviez pas de faire de la .pem fichiers, mais je ne l'avais .cer certs, vous venez de faire et téléchargé à partir de l'Apple Dev site?
    InformationsquelleAutor Donald.M
  6. 1

    Une ligne de la vérification sur le vrai/faux si cert a expiré en peu de temps plus tard(ex. 15 jours):

    if openssl x509 -checkend $(( 24*3600*15 )) -noout -in <(openssl s_client -showcerts -connect may.domain.com:443 </dev/null 2>/dev/null | openssl x509 -outform PEM)
then
  echo 'good'
else
  echo 'bad'
fi
    InformationsquelleAutor Alexey
  7. 0

    Si (pour quelque raison) que vous souhaitez utiliser une application graphique sous Linux, utilisez gcr-viewer (dans la plupart des distributions, il est installé par le paquet gcr (sinon dans le paquet gcr-viewer))

    gcr-viewer file.pem
# or
gcr-viewer file.crt
    InformationsquelleAutor Attila123