Ping uma porta específica

Question

Adam Matan

Asked: 2015-01-24 14:13:21 +0800 CST2015-01-24 14:13:21 +0800 CST 2015-01-24 14:13:21 +0800 CST

Exibindo detalhes de um certificado SSL remoto usando ferramentas CLI

772

No Chrome, clicar no ícone verde de cadeado HTTPS abre uma janela com os detalhes do certificado:

insira a descrição da imagem aqui

Quando tentei o mesmo com cURL, obtive apenas algumas das informações:

$ curl -vvI https://gnupg.org
* Rebuilt URL to: https://gnupg.org/
* Hostname was NOT found in DNS cache
*   Trying 217.69.76.60...
* Connected to gnupg.org (217.69.76.60) port 443 (#0)
* TLS 1.2 connection using TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* Server certificate: gnupg.org
* Server certificate: Gandi Standard SSL CA
* Server certificate: UTN-USERFirst-Hardware
> HEAD / HTTP/1.1
> User-Agent: curl/7.37.1
> Host: gnupg.org
> Accept: */*

Alguma idéia de como obter as informações completas do certificado de uma ferramenta de linha de comando (cURL ou outra)?

14 respostas

Voted

Pedro Perez · Answer 1 · 2015-01-24T14:26:15+08:00

Best Answer

Pedro Perez

2015-01-24T14:26:15+08:002015-01-24T14:26:15+08:00

Você deve poder usar o OpenSSL para sua finalidade:

echo | openssl s_client -showcerts -servername gnupg.org -connect gnupg.org:443 2>/dev/null | openssl x509 -inform pem -noout -text

Esse comando se conecta ao site desejado e canaliza o certificado no formato PEM para outro comando openssl que lê e analisa os detalhes.

-servername(Observe que o parâmetro "redundante" é necessário para opensslfazer uma solicitação com suporte SNI.)

484

user181713 · Answer 2 · 2016-01-16T05:23:37+08:00

Informações básicas do certificado

Esse é o meu script diário:

curl --insecure -vvI https://www.example.com 2>&1 | awk 'BEGIN { cert=0 } /^\* SSL connection/ { cert=1 } /^\*/ { if (cert) print }'

Resultado:

* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=California; L=Los Angeles; O=Verizon Digital Media Services, Inc.; CN=www.example.org
*  start date: Dec 10 00:00:00 2021 GMT
*  expire date: Dec  9 23:59:59 2022 GMT
*  issuer: C=US; O=DigiCert Inc; CN=DigiCert TLS RSA SHA256 2020 CA1
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x5588e1f5ae30)
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
* Connection #0 to host www.example.com left intact

Informações completas do certificado

openssl s_client -connect www.example.com:443 </dev/null 2>/dev/null | openssl x509 -inform pem -text

Jose Quinteiro · Answer 3 · 2017-11-02T12:37:49+08:00

nmap -p 443 --script ssl-cert gnupg.org

O -p 443especifica para varrer apenas a porta 443. Todas as portas serão verificadas se for omitida e os detalhes do certificado para qualquer serviço SSL encontrado serão exibidos. O --script ssl-certdiz ao mecanismo de script do Nmap para executar apenas o ssl-certscript. A partir do documento, este script "(r)recupera o certificado SSL de um servidor. A quantidade de informações impressas sobre o certificado depende do nível de detalhamento".

Saída de amostra:

Starting Nmap 7.40 ( https://nmap.org ) at 2017-11-01 13:35 PDT
Nmap scan report for gnupg.org (217.69.76.60)
Host is up (0.16s latency).
Other addresses for gnupg.org (not scanned): (null)
rDNS record for 217.69.76.60: www.gnupg.org
PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=gnupg.org
| Subject Alternative Name: DNS:gnupg.org, DNS:www.gnupg.org
| Issuer: commonName=Gandi Standard SSL CA 2/organizationName=Gandi/stateOrProvinceName=Paris/countryName=FR
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2015-12-21T00:00:00
| Not valid after:  2018-03-19T23:59:59
| MD5:   c3a7 e0ed 388f 87cb ec7f fd3e 71f2 1c3e
|_SHA-1: 5196 ecf5 7aed 139f a511 735b bfb5 7534 df63 41ba

Nmap done: 1 IP address (1 host up) scanned in 2.31 seconds

faker · Answer 4 · 2015-01-24T14:20:51+08:00

faker

2015-01-24T14:20:51+08:002015-01-24T14:20:51+08:00

Depende do tipo de informação que você deseja, mas:

openssl s_client -showcerts -connect gnupg.org:443

deve dar-lhe mais, embora não tão bem legível como o Chrome apresenta.

38

dave_thompson_085 · Answer 5 · 2018-09-20T12:27:34+08:00

dave_thompson_085

2018-09-20T12:27:34+08:002018-09-20T12:27:34+08:00

Para completar: se você instalou em seu sistema Java 7 ou superior

 keytool -printcert -sslserver $host[:$port]

mostra a cadeia (como servida) com quase todos os detalhes em um formato bastante feio.

Se você deve ter o Java instalado no seu sistema, não respondo.

28

Neossian · Answer 6 · 2016-12-15T08:06:04+08:00

Se você quiser fazer isso no Windows, pode usar o PowerShell com a seguinte função:

function Retrieve-ServerCertFromSocket ($hostname, $port=443, $SNIHeader, [switch]$FailWithoutTrust)
{
    if (!$SNIHeader) {
        $SNIHeader = $hostname
    }

    $cert = $null
    try {
        $tcpclient = new-object System.Net.Sockets.tcpclient
        $tcpclient.Connect($hostname,$port)

        #Authenticate with SSL
        if (!$FailWithoutTrust) {
            $sslstream = new-object System.Net.Security.SslStream -ArgumentList $tcpclient.GetStream(),$false, {$true}
        } else {
            $sslstream = new-object System.Net.Security.SslStream -ArgumentList $tcpclient.GetStream(),$false
        }

        $sslstream.AuthenticateAsClient($SNIHeader)
        $cert =  [System.Security.Cryptography.X509Certificates.X509Certificate2]($sslstream.remotecertificate)

     } catch {
        throw "Failed to retrieve remote certificate from $hostname`:$port because $_"
     } finally {
        #cleanup
        if ($sslStream) {$sslstream.close()}
        if ($tcpclient) {$tcpclient.close()}        
     }    
    return $cert
}

Isso permite que você faça algumas coisas legais como

#Save to file and open 
Retrieve-ServerCertFromSocket www.wrish.com 443 | Export-Certificate -FilePath C:\temp\test.cer ; start c:\temp\test.cer

#Display the cert details
Retrieve-ServerCertFromSocket www.wrish.com 443 | fl subject,*not*,Thumb*,ser*

c4urself · Answer 7 · 2018-04-06T18:17:16+08:00

c4urself

2018-04-06T18:17:16+08:002018-04-06T18:17:16+08:00

Se você quiser apenas a data de validade (que não é exatamente a resposta, mas é 9/10 para o que as pessoas usam os detalhes do certificado do Chrome), você pode usar:

echo | openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -enddate

Útil para scripts etc.

c4urself@eos ~ → which ssl_expiry
ssl_expiry () {
  echo | openssl s_client -connect ${1}:443 2> /dev/null | openssl x509 -noout -enddate
}
c4urself@eos ~ → ssl_expiry google.com
notAfter=Jun 12 16:54:00 2018 GMT

9

Florian Heigl · Answer 8 · 2015-01-24T17:34:47+08:00

Para verificar os detalhes do certificado SSL, uso a seguinte ferramenta de linha de comando desde que ela se tornou disponível:

https://github.com/azet/tls_tools

É ótimo verificar se você tem todas as informações corretas para reemitir certificados ou validar os existentes, e também como poucas dependências E não requer configuração.

É assim que as primeiras linhas da saída se parecem:

$ ./check_certificate_chain.py gnupg.org 443

>> Certificate Chain:

 [+]*       OU=Domain Control Validated, OU=Gandi Standard SSL, CN=gnupg.org
 [+]**      C=FR, O=GANDI SAS, CN=Gandi Standard SSL CA
 [+]***     C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware

>> Certificate Information:

................................................................................
- [Subject]:        OU=Domain Control Validated, OU=Gandi Standard SSL, CN=gnupg.org
- [Issuer]:     C=FR, O=GANDI SAS, CN=Gandi Standard SSL CA
- [Valid from]:     Mar 18 00:00:00 2014 GMT
- [Valid until]:    Mar 18 23:59:59 2016 GMT
- [Authority]:      Is not a CA
- [Version]:        2
- [Serial No.]:     43845251655098616578492338727643475746
- [X.509 Extension Details]:
  -- [x509_authorityKeyIdentifier]:
       keyid:B6:A8:FF:A2:A8:2F:D0:A6:CD:4B:B1:68:F3:E7:50:10:31:A7:79:21

Essa saída é seguida por toda a cadeia de certificados no mesmo nível de detalhe.

O que eu gosto é que em vez de ser uma ferramenta cli centrada em SSL como o s_client do openssl, esta tenta apenas fazer o único trabalho que precisamos na maioria das vezes. É claro que o openssl é mais flexível (ou seja, também verificando clientcerts, imaps em portas ímpares, etc.) - mas nem sempre preciso disso.

Alternativamente, se você tiver tempo para cavar e configurar ou apreciar mais recursos, existe a ferramenta maior chamada sslyze (não a usando desde dependências e instalação ...)

Alain Kelder · Answer 9 · 2015-09-09T11:37:11+08:00

Eu uso um script de shell para isso. É apenas um wrapper em torno do comando openssl que me salva de lembrar a sintaxe.

Ele fornece opções para analisar a maioria das informações de certificado nas quais normalmente estou interessado ou exibir a saída rawssl bruta.

Pode consultar um arquivo de certificado local ou um servidor remoto.

Uso:

$ ssl-cert-info --help
Usage: ssl-cert-info [options]

This shell script is a simple wrapper around the openssl binary. It uses
s_client to get certificate information from remote hosts, or x509 for local
certificate files. It can parse out some of the openssl output or just dump all
of it as text.

Options:

  --all-info   Print all output, including boring things like Modulus and 
               Exponent.

  --alt        Print Subject Alternative Names. These will be typically be 
               additional hostnames that the certificate is valid for.

  --cn         Print commonName from Subject. This is typically the host for 
               which the certificate was issued.

  --debug      Print additional info that might be helpful when debugging this
               script.

  --end        Print certificate expiration date. For additional functionality
               related to certificate expiration, take a look at this script:
               "http://prefetch.net/code/ssl-cert-check".

  --dates      Print start and end dates of when the certificate is valid.

  --file       Use a local certificate file for input.

  --help       Print this help message.

  --host       Fetch the certificate from this remote host.

  --issuer     Print the certificate issuer.

  --most-info  Print almost everything. Skip boring things like Modulus and
               Exponent.

  --option     Pass any openssl option through to openssl to get its raw
               output.

  --port       Use this port when conneting to remote host. If ommitted, port
               defaults to 443.

  --subject    Print the certificate Subject -- typically address and org name.

Examples:

  1. Print a list of all hostnames that the certificate used by amazon.com 
     is valid for.

     ssl-cert-info --host amazon.com --alt
     DNS:uedata.amazon.com
     DNS:amazon.com
     DNS:amzn.com
     DNS:www.amzn.com
     DNS:www.amazon.com

  2. Print issuer of certificate used by smtp.gmail.com. Fetch certficate info
     over port 465.

     ssl-cert-info --host smtp.gmail.com --port 465 --issuer
     issuer= 
         countryName               = US
         organizationName          = Google Inc
         commonName                = Google Internet Authority G2

  3. Print valid dates for the certificate, using a local file as the source of 
     certificate data. Dates are formatted using the date command and display
     time in your local timezone instead of GMT.

     ssl-cert-info --file /path/to/file.crt --dates
     valid from: 2014-02-04 16:00:00 PST
     valid till: 2017-02-04 15:59:59 PST


  4. Print certificate serial number. This script doesn't have a special option
     to parse out the serial number, so will use the generic --option flag to
     pass '-serial' through to openssl.

     ssl-cert-info --host gmail.com --option -serial
     serial=4BF004B4DDC9C2F8

Você pode obter o script aqui: https://web.archive.org/web/20190528035412/http://giantdorks.org/alain/shell-script-to-check-ssl-certificate-info-like-expiration-date -e-assunto/

Sergio Rua · Answer 10 · 2017-07-28T07:58:29+08:00

Sergio Rua

2017-07-28T07:58:29+08:002017-07-28T07:58:29+08:00

nmap -sV -sC google.com -p 443

3

Exibindo detalhes de um certificado SSL remoto usando ferramentas CLI

Informações básicas do certificado

Informações completas do certificado

Você pode passar usuário/passar para autenticação básica HTTP em parâmetros de URL?