Affichage des détails d'un certificat SSL distant à l'aide des outils CLI

Question

Affichage des détails d'un certificat SSL distant à l'aide des outils CLI

Demandé el 23 de Janvier, 2015: Quand la question a-t-elle été
563197 affichage: Nombre de visites la question a
5 Réponses: Nombre de réponses aux questions
Résolu: Situation réelle de la question

Dans Chrome, un clic sur l'icône verte du verrou HTTPS ouvre une fenêtre contenant les détails du certificat :

enter image description here

Lorsque j'ai essayé la même chose avec cURL, je n'ai obtenu qu'une partie des informations :

$ curl -vvI https://gnupg.org
* Rebuilt URL to: https://gnupg.org/
* Hostname was NOT found in DNS cache
*   Trying 217.69.76.60...
* Connected to gnupg.org (217.69.76.60) port 443 (#0)
* TLS 1.2 connection using TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* Server certificate: gnupg.org
* Server certificate: Gandi Standard SSL CA
* Server certificate: UTN-USERFirst-Hardware
> HEAD / HTTP/1.1
> User-Agent: curl/7.37.1
> Host: gnupg.org
> Accept: */*

Savez-vous comment obtenir les informations complètes du certificat à partir d'un outil en ligne de commande (cURL ou autre) ?

Demandé el 23 de Janvier, 2015 par olinarr

1 votes

Voir aussi stackoverflow.com/questions/7885785/

Commenté el 8 de Février, 2017 par Vadzim

3 votes

Cela dépend probablement aussi de la version. Ma version actuelle curl avec drapeau --verbose montre le contenu complet du certificat du serveur.

Commenté el 16 de Mai, 2018 par Patrick Mevzek

Answer 1

5 Réponses

Answer 2

584voto

Pedro Perez Points 5352

Vous devriez être en mesure d'utiliser OpenSSL pour vos besoins :

echo | openssl s_client -showcerts -servername gnupg.org -connect gnupg.org:443 2>/dev/null | openssl x509 -inform pem -noout -text

Cette commande se connecte au site Web souhaité et transmet le certificat au format PEM à une autre commande openssl qui lit et analyse les détails.

(Notez que "redondant" -servername est nécessaire pour rendre openssl faire une demande auprès du support SNI).

Répondu el 23 de Janvier, 2015 par Pedro Perez (5352 Points )

0 votes

Il semble y avoir une erreur avec cette commande : OpenSSL> openssl:Error: 'CONNECTED(00000003)' is an invalid command.

Commenté el 23 de Janvier, 2015 par olinarr

0 votes

Salut Adam, ça marche sur mon Ubuntu et ça devrait marcher sur n'importe quel Linux. D'après l'erreur que tu as postée, je dirais que tu as peut-être mal saisi l'hôte ou le port ? gnupg.org:443 fonctionne pour moi aussi. Qu'obtenez-vous si vous exécutez simplement : echo | openssl s_client -showcerts -connect gnupg.org:443 2>/dev/null

Commenté el 23 de Janvier, 2015 par Pedro Perez

2 votes

@AdamMatan Avez-vous inclus la commande complète après le deuxième tuyau ? Le message d'erreur semble indiquer que la deuxième invocation d'openssl s'est exécutée en mode interactif (c.-à-d. openssl vs openssl x509 -inform pem -noout -text ). Ce que Pedro a écrit fonctionne bien pour moi.

Commenté el 23 de Janvier, 2015 par Jacob

Afficher 14 autres commentaires

Answer 3

185voto

Antonio Costa Points 1587

Informations de base sur le certificat

C'est mon script quotidien :

curl --insecure -vvI https://www.example.com 2>&1 | awk 'BEGIN { cert=0 } /^\* SSL connection/ { cert=1 } /^\*/ { if (cert) print }'

Sortie :

* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=California; L=Los Angeles; O=Verizon Digital Media Services, Inc.; CN=www.example.org
*  start date: Dec 10 00:00:00 2021 GMT
*  expire date: Dec  9 23:59:59 2022 GMT
*  issuer: C=US; O=DigiCert Inc; CN=DigiCert TLS RSA SHA256 2020 CA1
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x5588e1f5ae30)
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
* Connection #0 to host www.example.com left intact

Informations complètes sur le certificat

openssl s_client -connect www.example.com:443 </dev/null 2>/dev/null | openssl x509 -inform pem -text

Répondu el 15 de Janvier, 2016 par Antonio Costa (1587 Points )

9 votes

Ça ne marche pas pour moi, ça n'inclut pas les dates de début et d'expiration.

Commenté el 1 de Juin, 2017 par Per Lundberg

13 votes

Depuis un changement récent dans curl (quelque part entre 49 et 52), cela n'affiche rien du tout sur le certificat :(.

Commenté el 26 de Juin, 2017 par Ross Presser

1 votes

Supprimer le 2>&1

Commenté el 11 de Juin, 2018 par Talal Vanish

Afficher 1 autres commentaires

Answer 4

98voto

Jose Quinteiro Points 814

nmap -p 443 --script ssl-cert gnupg.org

El -p 443 spécifie de ne scanner que le port 443. Si cette option est omise, tous les ports seront analysés et les détails du certificat de tout service SSL trouvé seront affichés. L'adresse --script ssl-cert indique à la Moteur de script Nmap pour exécuter uniquement le ssl-cert script. D'après la documentation, ce script "(r)echerche le certificat SSL d'un serveur. La quantité d'informations imprimées sur le certificat dépend du niveau de verbosité."

Exemple de sortie :

Starting Nmap 7.40 ( https://nmap.org ) at 2017-11-01 13:35 PDT
Nmap scan report for gnupg.org (217.69.76.60)
Host is up (0.16s latency).
Other addresses for gnupg.org (not scanned): (null)
rDNS record for 217.69.76.60: www.gnupg.org
PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=gnupg.org
| Subject Alternative Name: DNS:gnupg.org, DNS:www.gnupg.org
| Issuer: commonName=Gandi Standard SSL CA 2/organizationName=Gandi/stateOrProvinceName=Paris/countryName=FR
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2015-12-21T00:00:00
| Not valid after:  2018-03-19T23:59:59
| MD5:   c3a7 e0ed 388f 87cb ec7f fd3e 71f2 1c3e
|_SHA-1: 5196 ecf5 7aed 139f a511 735b bfb5 7534 df63 41ba

Nmap done: 1 IP address (1 host up) scanned in 2.31 seconds

Répondu el 1 de Novembre, 2017 par Jose Quinteiro (814 Points )

2 votes

Si vous avez besoin de voir les empreintes digitales du certificat, cette commande est bien meilleure que la commande curl -v suggestions dans d'autres réponses.

Commenté el 12 de Février, 2020 par gabr

2 votes

C'est la seule dans ce fil de discussion qui montre les noms alternatifs du sujet pour le certificat.

Commenté el 4 de Novembre, 2020 par Ozymandias

1 votes

De toutes les autres solutions (pourquoi cette opération de base est-elle si difficile ?), celle-ci est la moins lourde. C'est probablement celle que Trinity préférera aussi.

Commenté el 9 de Décembre, 2020 par jcomeau_ictx

Afficher 1 autres commentaires

Answer 5

45voto

faker Points 17246

Ça dépend du type d'information que vous voulez, mais.. :

openssl s_client -showcerts -connect gnupg.org:443

devrait vous donner la plupart des informations, bien qu'elles ne soient pas aussi lisibles par l'homme que celles présentées par Chrome.

Répondu el 23 de Janvier, 2015 par faker (17246 Points )

3 votes

Malheureusement, très peu de données du certificat sont présentées dans un format lisible par l'homme par cette commande.

Commenté el 23 de Janvier, 2015 par Jacob

13 votes

Je ne suis pas d'accord avec le commentaire précédent, cette commande me dit ce que je dois savoir et est très utile. +1 pour la réponse.

Commenté el 12 de Mai, 2017 par camdixon

0 votes

Si vous voulez spécifiquement tester pour TLS 1.2 vous pouvez ajouter -tls1_2

Commenté el 12 de Mai, 2017 par camdixon

Afficher 1 autres commentaires

Answer 6

35voto

dave_thompson_085 Points 2952

Pour être complet : si vous avez installé sur votre système Java 7 ou supérieur

 keytool -printcert -sslserver $host[:$port]

montre le chaîne (tel que servi) avec presque tous les détails dans un format plutôt laid.

Que vous devrait si Java est installé sur votre système, je ne réponds pas.

Répondu el 19 de Septembre, 2018 par dave_thompson_085 (2952 Points )

2 votes

Brillant, sortie par défaut beaucoup plus utile que openssl (qui nécessite un décodage).

Commenté el 13 de Mai, 2019 par simon

0 votes

Cela semble être la façon la plus simple de vérifier tous les domaines supportés par ssl-cert `keytool -printcert -sslserver smth.yourdomain.com | grep -E 'Owner|DNSName' ceci montrera le "nom de domaine par défaut" du cert et les noms de domaine alternatifs du cert.

Commenté el 17 de Décembre, 2019 par Dimitry K

Affichage des détails d'un certificat SSL distant à l'aide des outils CLI

Réponses

Informations de base sur le certificat

Informations complètes sur le certificat

Questions en vedette

Top Tags

SistemesEz.com

Powered by:

Affichage des détails d'un certificat SSL distant à l'aide des outils CLI

Réponses

Informations de base sur le certificat

Informations complètes sur le certificat

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

Powered by: