Làm sao tôi có thể kiểm tra ngày hết hạn của chứng chỉ TLS/SSL bằng dòng lệnh hoặc bằng shell scripts. Hôm nay chúng ta sẽ cùng tìm hiểu cách xác định ngày hết hạn của chứng chỉ TLS/SSL từ một file chứng chỉ PEM được mã hoá và từ các Website/Domain Name đã up mã nguồn lên khi sử dụng Linux, BSD, macOS hoặc các hệ thống Unix khác
Mục lục
Sử dụng OpenSSL
Để kiểm tra ngày hết hạn của chứng chỉ SSL, chúng ta sẽ sử dụng công cụ OpenSSL. OpenSL cung cấp cho chúng ta những thông tin như ngày cấp, ngày hết hạn, người cấp chứng chỉ, và nhiều hơn thế
Mở Terminal và gõ vào dòng lệnh sau
$ openssl s_client -servername {SERVER_NAME} -connect {SERVER_NAME}:{PORT} | openssl x509 -noout -dates $ echo | openssl s_client -servername {SERVER_NAME} -connect {SERVER_NAME}:{PORT} | openssl x509 -noout -dates
Ví dụ tôi muốn kiểm tra cho trang web www.nixcraft.com thì chúng ta sẽ nhập như sau
DOM="www.nixcraft.com" PORT="443" openssl s_client -servername $DOM -connect $DOM:$PORT \ | openssl x509 -noout -dates
Chúng ta sẽ thu được output như dưới
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 verify return:1 depth=0 CN = www.nixcraft.com verify return:1 notBefore=Sep 29 23:10:07 2020 GMT notAfter=Dec 28 23:10:07 2020 GMT
Sử dụng thêm câu lệnh echo để không phải bấm Ctrl + C
DOM="www.cyberciti.biz" PORT="443" ## note echo added ## echo | openssl s_client -servername $DOM -connect $DOM:$PORT \ | openssl x509 -noout -dates
Hiểu về các tuỳ chọn của câu lệnh OpenSSL
- s_client : Câu lệnh s_client thực hiện như một SSL/TLS client bình thường bằng cách kết nối tới remote host sử dụng SSL/TLS
- -servername $DOM : Thiết đặt phần mở rộng TLS SNI (Server Name Indication) trong tin nhắn ClientHello để gán gái trị
- -connect $DOM:$PORT : Chỉ định host ($DOM) và port ($PORT) để kết nối tới
- x509 : Khởi chạy công cụ hiển thị và kí chứng chỉ
- -noout : Ngăn việc xuất ra bản mã hoá của chứng chỉ
- -dates : In ra ngày bắt đầu và ngày hết hạn của một chứng chỉ TLS hoặc SSL
Tìm ngày hết hạn từ file chứng chỉ PEM được mã hoá
Các bạn sử dụng các câu lệnh sau
$ openssl x509 -enddate -noout -in {/path/to/my/my.pem} $ openssl x509 -enddate -noout -in /etc/nginx/ssl/www.cyberciti.biz.fullchain.cer.ecc $ openssl x509 -enddate -noout -in /etc/nginx/ssl/www.nixcraft.com.fullchain.cer
notAfter=Dec 29 23:48:42 2020 GMT
Ngoài ra các bạn có thể “dự đoán” ngày hết hạn. Ví dụ như câu lệnh dưới để “đoán xem” sau 7 ngày (604800 giây) chứng chỉ này có hết hạn hay chưa
$ openssl x509 -enddate -noout -in my.pem -checkend 604800
Shell script để xác định ngày hết hạn từ file crt và cảnh báo tới sysadmin
#!/bin/bash # Purpose: Alert sysadmin/developer about the TLS/SSL cert expiry date in advance # Author: Vivek Gite {https://www.cyberciti.biz/} under GPL v2.x+ # ------------------------------------------------------------------------------- PEM="/etc/nginx/ssl/letsencrypt/cyberciti.biz/cyberciti.biz.fullchain.cer" # 7 days in seconds DAYS="604800" # Email settings _sub="$PEM will expire within $DAYS (7 days)." _from="system-account@your-dommain" _to="sysadmin@your-domain" _openssl="/usr/bin/openssl" $_openssl x509 -enddate -noout -in "$PEM" -checkend "$DAYS" | grep -q 'Certificate will expire' # Send email and push message to my mobile if [ $? -eq 0 ] then echo "${_sub}" mail -s "$_sub" -r "$_from" "$_to" <<< "Warning: The TLS/SSL certificate ($PEM) will expire soon on $HOSTNAME [$(date)]" # See https://www.cyberciti.biz/mobile-devices/android/how-to-push-send-message-to-ios-and-android-from-linux-cli/ # source ~/bin/cli_app.sh push_to_mobile "$0" "$_sub. See $_to email for detailed log. -- $HOSTNAME " >/dev/null fi
Sử dụng testssl Script
$ wget https://testssl.sh/testssl.sh $ chmod +x testssl.sh $ testssl.sh --fast --parallel https://www.cyberciti.biz/
Tham khảo từ CyberCiti
Blog
Tuyển Đại lý dịch vụ Cloud – Chiết khấu đến 35%
Cloudzone tuyển đại lý dịch vụ Cloud, Data Center với lợi nhuận không giới hạn, [...]
Blog Giải pháp
Mã Độc Là Gì? Cách Phòng Chống Mã Độc Hiệu Quả Cho Máy Chủ 2024
Trong thế giới kỹ thuật số ngày nay, bảo mật máy chủ là một yếu [...]
Colocation Blog
Kinh nghiệm thuê chỗ đặt máy chủ (Server Colocation)
Trong thế giới công nghệ hiện đại, việc duy trì một hệ thống máy chủ [...]
Cloud VPS
Vì Sao Nên Lựa Chọn Cloud Server CPU Intel Xeon Platinum
Khám phá lợi ích vượt trội của Cloud Server sử dụng CPU Intel Xeon Platinum [...]
Blog Cloud VPS
Bảng giá thuê VPS GPU mới nhất năm 2024
Trong thế giới công nghệ ngày nay, VPS (Virtual Private Server) có GPU đóng vai [...]
Blog Máy chủ vật lý
CHI PHÍ THUÊ MÁY CHỦ VẬT LÝ CHO DOANH NGHIỆP LÀ BAO NHIÊU NĂM 2024
Trên thực tế việc đầu tư máy chủ riêng tại doanh nghiệp khá tốn kém [...]