获取SSL证书的有效日期的几种方法

获取SSL证书的有效日期的几种方法V1.0修订页编号章节名称修订内容简述修订日期修订前版本号修订后版本号修订人批准人1创建全文2011-5-9V1.0黄威目 录简介3运行要求3操作步骤3(一)、提取服务器的证书3(二)、获取证书的有效到期日期4附录1：s_client命令行的语法为：6附录2：openssl简介指令x5096简介openssl 提供了 SSL 协议的一个开放源代码的实现，包含三部分：ssl 库，加解密库和命令行工具。在命令行工具中 s_client 是一个以 SSL 协议连接远程服务器的客户端程序，该工具可以用于测试诊断。虽然 s_client 只提供了一些基础功能，但是其内部具体实现中使用了 ssl 库的大部分接口。(注：s_client命令行的语法和常用参数的用途详见附录1)运行要求操作系统：AIX或Linux需要安装openssl软件，详见附件Linux下安装openssl步骤操作步骤s_client 在 SSL 握手协议中的应用获取证书的有效日期。详见以下步骤：(一)、提取服务器的证书1) 在 linux 平台下创建脚本 retrieve-cert.sh 并存入一下清单 1.1 中的内容。获取服务器的证书内容。清单 1.1 获取证书：#usage: retrieve-cert.sh port SSLHOST=$1 SSLPORT=$2:-443 openssl s_client -connect $SSLHOST:$SSLPORT &1| sed -ne /-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p server.pem3) 将脚本retrieve-cert.sh和GetEndDate.sh放在同一个目录下，执行GetEndDate.sh (参数1为服务器IP，参数2为端口，如果没有参数2即默认值443)，即可获取加载了SSL的Apache服务器的证书，运行截图：备注：如果是直接用命令行获取Apache培训实验服务器端证书，提取到本地文件server.pem中，执行命令如下： rootApache_VM tmp# openssl s_client -connect :443 2&1| sed -ne /-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p server.pem(二)、获取证书的有效到期日期接下来有3种方法获取证书的有效到期日期 (备注：openssl指令x509简介详见附录2)1) 方法一：使用x509工具，查看根证书的具体内容，特别是证书签发者和持有者的身份，如清单 2 所示。清单 2 解码根证书rootApache_VM tmp# openssl x509 -text -in server.pem运行截图： (Not After行即显示的时证书的有效日期)2) 方法二：用命令行直接打印证书的到期时间： rootApache_VM tmp# openssl x509 -noout -in server.pem enddate运行截图：3) 方法三：如果能登陆服务器端，可直接查看server.crt：rootApache_VM conf# cat server.crt |grep Not After运行截图： (Not After行即显示的时证书的有效日期)附录1：s_client命令行的语法为：openssl s_client -connect host:port -verify depth -cert filename -key filename -CApath directory -CAfile filename-reconnect -pause -showcerts -debug -msg -nbio_test -state -nbio -crlf -ign_eof -quiet 常用参数的具体用途如下：-connect host:port ：指定远程服务器的地址和端口，如果没有该参数，默认值为 localhost:443 ； -cert filename：若服务器端需要验证客户端的身份，通过 -cert 指定客户端的证书文件。 -key filename：指定私钥文件； -verify depth：打开服务器证书验证并定义证书验证过程中的最大深度。 -showcerts：显示服务器证书链； -CAfile filename：指定用于验证服务器证书的根证书； -state：打印出 SSL 会话的状态。 附录2：openssl简介指令x509用法： openssl x509 -inform DER|PEM|NET -outform DER|PEM|NET -keyform DER|PEM-CAform DER|PEM -CAkeyform DER|PEM -in filename-out filename -serial -hash -subject -issuer -nameopt option -email -startdate -enddate -purpose -dates -modulus -fingerprint -alias -noout -trustout -clrtrust -clrreject -addtrust arg -addreject arg -setalias arg -days arg -signkey filename-x509toreq -req -CA filename -CAkey filename -CAcreateserial -CAserial filename -text -C -md2|-md5|-sha1|-mdc2 -clrext -extfile filename -extensions section 说明： 本指令是一个功能很丰富的证书处理工具。可以用来显示证书的内容，转换其格式，给CSR签名等等。由于功能太多，按功能分成几部分来讲。 输入，输出等一些一般性的option ： -inform DER|PEM|NET 指定输入文件的格式。 -outform DER|PEM|NET 指定输出文件格式 -in filename 指定输入文件名 -out filename 指定输出文件名 -md2|-md5|-sha1|-mdc2 指定使用的哈希算法。缺省的是MD5于打印有关的option -text 用文本方式详细打印出该证书的所有细节。 -noout 不打印出请求的编码版本信息。 -modulus 打印出公共密钥的系数值。没研究过RSA就别用这个了。 -serial 打印出证书的系列号。 -hash 把证书的拥有者名称的哈希值给打印出来。 -subject 打印出证书拥有者的名字。 -issuer 打