获取SSL证书的有效日期的几种方法.docx

获取SSL证书的有效日期的几种方法.docx

《获取SSL证书的有效日期的几种方法.docx》由会员分享，可在线阅读，更多相关《获取SSL证书的有效日期的几种方法.docx（6页珍藏版）》请在冰点文库上搜索。

获取SSL证书的有效日期的几种方法

获取SSL证书的有效日期的几种方法

V1.0

修订页

编号

章节名称

修订内容简述

修订日期

修订前

版本号

修订后版本号

修订人

批准人

1

创建全文

2011-5-9

V1.0

黄威

简介

openssl提供了SSL协议的一个开放源代码的实现，包含三部分：

ssl库，加解密库和命令行工具。

在命令行工具中s_client是一个以SSL协议连接远程服务器的客户端程序，该工具可以用于测试诊断。

虽然s_client只提供了一些基础功能，但是其内部具体实现中使用了ssl库的大部分接口。

（注：

s_client命令行的语法和常用参数的用途详见附录1）

运行要求

操作系统：

AIX或Linux

需要安装openssl软件，详见附件《Linux下安装openssl步骤》

操作步骤

s_client在SSL握手协议中的应用——获取证书的有效日期。

详见以下步骤：

（一）、提取服务器的证书

1）在linux平台下创建脚本retrieve-cert.sh并存入一下清单1.1中的内容。

获取服务器的证书内容。

清单1.1获取证书：

2）创建脚本GetEndDate.sh并存入清单1.2中的内容。

该脚本的输出内容就是服务器端的X509证书经过Base64编码后的内容并将脚本输出存入文件server.pem中。

清单1.2提取证书：

3）将脚本retrieve-cert.sh和GetEndDate.sh放在同一个目录下，执行GetEndDate.sh192.168.10.9（参数1为服务器IP，参数2为端口，如果没有参数2即默认值443），即可获取加载了SSL的Apache服务器192.168.10.9的证书，运行截图：

备注：

如果是直接用命令行获取Apache培训实验服务器端证书，提取到本地文件server.pem中，执行命令如下：

（二）、获取证书的有效到期日期

接下来有3种方法获取证书的有效到期日期

（备注：

openssl指令x509简介详见附录2）

1）方法一：

使用x509工具，查看根证书的具体内容，特别是证书签发者和持有者的身份，如清单2所示。

清单2解码根证书

运行截图：

（NotAfter行即显示的时证书的有效日期）

2）方法二：

用命令行直接打印证书的到期时间：

运行截图：

3）方法三：

如果能登陆服务器端，可直接查看server.crt：

[root@Apache_VMconf]#catserver.crt|grep"NotAfter"

运行截图：

（NotAfter行即显示的时证书的有效日期）

附录1：

s_client命令行的语法为：

openssls_client[-connecthost:

port>][-verifydepth][-certfilename][-keyfilename]

 [-CApathdirectory][-CAfilefilename][-reconnect][-pause][-showcerts][-debug][-msg]

 [-nbio_test][-state][-nbio][-crlf][-ign_eof][-quiet]

常用参数的具体用途如下：

-connecthost:

port：

指定远程服务器的地址和端口，如果没有该参数，默认值为localhost:

443；

-certfilename：

若服务器端需要验证客户端的身份，通过-cert指定客户端的证书文件。

-keyfilename：

指定私钥文件；

-verifydepth：

打开服务器证书验证并定义证书验证过程中的最大深度。

-showcerts：

显示服务器证书链；

-CAfilefilename：

指定用于验证服务器证书的根证书；

-state：

打印出SSL会话的状态。

附录2：

openssl简介－指令x509

用法：

  opensslx509[-informDER|PEM|NET][-outformDER|PEM|NET]  

    [-keyformDER|PEM][-CAformDER|PEM][-CAkeyformDER|PEM]  

    [-infilename][-outfilename][-serial][-hash][-subject]  

    [-issuer][-nameoptoption][-email][-startdate][-enddate]  

    [-purpose][-dates][-modulus][-fingerprint][-alias]  

    [-noout][-trustout][-clrtrust][-clrreject][-addtrustarg]  

    [-addrejectarg][-setaliasarg][-daysarg]  

    [-signkeyfilename][-x509toreq][-req][-CAfilename]  

    [-CAkeyfilename][-CAcreateserial][-CAserialfilename]  

    [-text][-C][-md2|-md5|-sha1|-mdc2][-clrext]  

    [-extfilefilename][-extensionssection]

  说明：

  本指令是一个功能很丰富的证书处理工具。

可以用来显示证书的内容，转换其格式，给CSR签名等等。

由于功能太多，按功能分成几部分来讲。

  输入，输出等一些一般性的option：

  -informDER|PEM|NET

  指定输入文件的格式。

  -outformDER|PEM|NET

  指定输出文件格式

  -infilename

  指定输入文件名

  -outfilename

  指定输出文件名

  -md2|-md5|-sha1|-mdc2

  指定使用的哈希算法。

缺省的是MD5于打印有关的option

  -text

  用文本方式详细打印出该证书的所有细节。

  -noout

  不打印出请求的编码版本信息。

  -modulus

  打印出公共密钥的系数值。

没研究过RSA就别用这个了。

  -serial

  打印出证书的系列号。

  -hash

  把证书的拥有者名称的哈希值给打印出来。

  -subject

  打印出证书拥有者的名字。

  -issuer

  打印证书颁发者名字。

  -nameoptoption

  指定用什么格式打印上俩个option的输出。

  后面有详细的介绍。

  -email

  如果有，打印出证书申请者的email地址

  -startdate

  打印证书的起始有效时间

  -enddate

  打印证书的到期时间

  -dates

  把上俩个option都给打印出来