Início / server / Perguntas / 139728
Accepted
RainDoctor
Asked: 2010-05-08 13:01:48 +0800 CST

como baixar o certificado SSL de um site?

  • 772

Eu quero baixar o certificado SSL de, digamos https://www.google.com , usando wget ou qualquer outro comando. Alguma linha de comando unix? wget ou openssl?

ssl ssl-certificate openssl wget

6 respostas

  1. Para baixar o certificado, você precisa usar o cliente embutido no openssl assim:

    echo -n | openssl s_client -connect $HOST:$PORTNUMBER -servername $SERVERNAME \
    | openssl x509 > /tmp/$SERVERNAME.cert

    Isso salvará o certificado em /tmp/$SERVERNAME.cert.

    O -servernameé usado para selecionar o certificado correto quando são apresentados múltiplos, no caso do SNI.

    Você pode usar -showcertsse quiser baixar todos os certificados da cadeia. Mas se você quiser apenas baixar o certificado do servidor, não há necessidade de especificar -showcerts. O x509no final removerá os certificados intermediários, você precisará usar sed -n '/-----BEGIN/,/-----END/p'em vez do x509 no final.

    echo -ndá uma resposta ao servidor, para que a conexão seja liberada

    openssl x509remove informações sobre a cadeia de certificados e detalhes de conexão. Este é o formato preferencial para importar o certificado para outros keystores.

    • 351
  2. Best Answer

    Eu encontrei a resposta. Openssl fornece isso.

    openssl s_client -connect ${REMHOST}:${REMPORT}

    • 78

  3. A ferramenta cliente GNUTLSgnutls-cli , , também pode facilitar isso:

    gnutls-cli --print-cert www.example.com \
        < /dev/null \
        > www.example.com.certs

    O programa foi projetado para fornecer um cliente interativo ao site, portanto, você precisa fornecer uma entrada vazia (neste exemplo, de /dev/null) para encerrar a sessão interativa.

    • 30 
  4. true | openssl s_client -connect google.com:443 2>/dev/null | openssl x509

    este modo de openssl espera stdin, então nós o fornecemos via true |, isso se conecta ao servidor especificado no parâmetro -connect. 2>/dev/nullsilencia erros (opcional), podemos passar toda a saída para o analisador x509, especificando /dev/stdino uso do shell pipe como arquivo de entrada. E isso produzirá apenas a -----BEGIN CERTIFICATE-----parte -----END CERTIFICATE-----da s_clientsaída. Você pode redirecionar isso para um arquivo adicionando > google.com.pemao final do comando.

    Da melhor forma que posso dizer, isso não verifica a cadeia de certificados, apenas informa qual identidade SSL o servidor final fornece.

    • 17

  5. com base na resposta @bignose, aqui está uma versão independente que se encaixa bem, por exemplo, em uma receita de chef:

    sudo apt-get install gnutls-bin 
gnutls-cli --print-cert myserver.com </dev/null| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > myserver.crt
sudo cp myserver.crt /usr/local/share/ca-certificates/myserver.crt
sudo update-ca-certificates
    • 11

  6. Sintaxe alternativa usando Ex e substituição de processo:

    ex +'/BEGIN CERTIFICATE/,/END CERTIFICATE/p' <(echo | openssl s_client -showcerts -connect example.com:443) -scq > file.crt
    • 2

relate perguntas