複数のリモートサーバーのSSL証明書の有効期限を確認する


18

次のOpenSSLコマンドを使用して、SSL証明書の有効期限を確認できます。

openssl x509 -noout -in <filename> -enddate

しかし、証明書が異なるWebサーバーに散在している場合、すべてのサーバーでこれらすべての証明書の有効期限をどのようにして見つけるのでしょうか?

他のホストに接続する方法があるようですが、これを使用して有効期限を取得する方法がわかりません:

openssl s_client -connect host:port

回答:


15

私は同じ問題を抱えてこれを書いた...それは速くて汚いが、うまくいくはずだ。まだ有効ではない証明書や、今後90日間で期限切れになる証明書をログに記録(およびデバッグを有効にして画面に出力)します。いくつかのバグが含まれている場合がありますが、自由に整理してください。

#!/bin/sh

DEBUG=false
warning_days=90 # Number of days to warn about soon-to-expire certs
certs_to_check='serverA.test.co.uk:443
serverB.test.co.uk:8140
serverC.test.co.uk:443'

for CERT in $certs_to_check
do
  $DEBUG && echo "Checking cert: [$CERT]"

  output=$(echo | openssl s_client -connect ${CERT} 2>/dev/null |\
  sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
  openssl x509 -noout -subject -dates 2>/dev/null) 

  if [ "$?" -ne 0 ]; then
    $DEBUG && echo "Error connecting to host for cert [$CERT]"
    logger -p local6.warn "Error connecting to host for cert [$CERT]"
    continue
  fi

  start_date=$(echo $output | sed 's/.*notBefore=\(.*\).*not.*/\1/g')
  end_date=$(echo $output | sed 's/.*notAfter=\(.*\)$/\1/g')

  start_epoch=$(date +%s -d "$start_date")
  end_epoch=$(date +%s -d "$end_date")

  epoch_now=$(date +%s)

  if [ "$start_epoch" -gt "$epoch_now" ]; then
    $DEBUG && echo "Certificate for [$CERT] is not yet valid"
    logger -p local6.warn "Certificate for $CERT is not yet valid"
  fi

  seconds_to_expire=$(($end_epoch - $epoch_now))
  days_to_expire=$(($seconds_to_expire / 86400))

  $DEBUG && echo "Days to expiry: ($days_to_expire)"

  warning_seconds=$((86400 * $warning_days))

  if [ "$seconds_to_expire" -lt "$warning_seconds" ]; then
    $DEBUG && echo "Cert [$CERT] is soon to expire ($seconds_to_expire seconds)"
    logger -p local6.warn "cert [$CERT] is soon to expire ($seconds_to_expire seconds)"
  fi
done

OS Xで使用している場合、dateコマンドが正しく機能しないことがあります。これは、このユーティリティのUnixバージョンとLinuxバージョンの違いによるものです。リンクされた投稿には、この作業を行うためのオプションがあります。


メールサーバーの証明書を確認できるように、またすべての証明書の状態に関する概要を提供できるように、スクリプトを少し変更/拡張しました。変更されたスクリプトは、gist.github.com
Lars Kiesow

1
サーバはSNIを使用している場合は、インクルードする必要があり-servername、このように、引数を:openssl s_client -servername example.com -connect example.com:443
Flimm

11

以下のコマンドを実行するだけで、有効期限が提供されます。

echo q | openssl s_client -connect google.com.br:443 | openssl x509 -noout -enddate

このコマンドをバッチファイルに使用して、より多くのリモートサーバーのこの情報を収集できます。


2
これを書く方法は、CTRL-Cを押して終了する必要があります。openssl s_client -connect google.com.br:443 </ dev / null 2>&1 | openssl x509 -noout -enddate考えてみてください。
-numberwhun

1
サーバはSNIを使用する場合は、使用する必要があります-servername:このように、引数をopenssl s_client -servername google.com.br -connect google.com.br:443
Flimm

6

以下はnagios内のチェックとしての私のスクリプトです。特定のホストに接続し、証明書が-c / -wオプションで設定されたしきい値内で有効であることを検証します。証明書のCNが期待する名前と一致することを確認できます。

python opensslライブラリが必要です。すべてのテストはpython 2.7で行いました。

シェルスクリプトがこれを複数回呼び出すのは簡単です。スクリプトは、クリティカル/警告/ OKステータスの標準nagios終了値を返します。

このようにして、Googleの証明書の簡単なチェックを実行できます。

./check_ssl_certificate -H www.google.com -p 443 -n www.google.com

Expire OK[108d] - CN OK - cn:www.google.com

check_ssl_certificate

#!/usr/bin/python

"""
Usage: check_ssl_certificate -H <host> -p <port> [-m <method>] 
                      [-c <days>] [-w <days>]
  -h show the help
  -H <HOST>    host/ip to check
  -p <port>    port number
  -m <method>  (SSLv2|SSLv3|SSLv23|TLSv1) defaults to SSLv23
  -c <days>    day threshold for critical
  -w <days>    day threshold for warning
  -n name      Check CN value is valid
"""

import getopt,sys
import __main__
from OpenSSL import SSL
import socket
import datetime

# On debian Based systems requires python-openssl

def get_options():
  "get options"

  options={'host':'',
           'port':'',
           'method':'SSLv23',
           'critical':5,
           'warning':15,
           'cn':''}

  try:
    opts, args = getopt.getopt(sys.argv[1:], "hH:p:m:c:w:n:", ['help', "host", 'port', 'method'])
  except getopt.GetoptError as err:
    # print help information and exit:
    print str(err) # will print something like "option -a not recognized"
    usage()
    sys.exit(2)
  for o, a in opts:
    if o in ("-h", "--help"):
      print __main__.__doc__
      sys.exit()
    elif o in ("-H", "--host"):
      options['host'] = a
      pass
    elif o in ("-p", "--port"):
      options['port'] = a
    elif o in ("-m", "--method"):
      options['method'] = a
    elif o == '-c':
      options['critical'] = int(a)
    elif o == '-w':
      options['warning'] = int(a)
    elif o == '-n':
      options['cn'] = a
    else:
      assert False, "unhandled option"

  if (''==options['host'] or 
      ''==options['port']):
    print __main__.__doc__
    sys.exit()

  if options['critical'] >= options['warning']:
    print "Critical must be smaller then warning"
    print __main__.__doc__
    sys.exit()

  return options

def main():
  options = get_options()

  # Initialize context
  if options['method']=='SSLv3':
    ctx = SSL.Context(SSL.SSLv3_METHOD)
  elif options['method']=='SSLv2':
    ctx = SSL.Context(SSL.SSLv2_METHOD)
  elif options['method']=='SSLv23':
    ctx = SSL.Context(SSL.SSLv23_METHOD)
  else:
    ctx = SSL.Context(SSL.TLSv1_METHOD)

  # Set up client
  sock = SSL.Connection(ctx, socket.socket(socket.AF_INET, socket.SOCK_STREAM))
  sock.connect((options['host'], int(options['port'])))
  # Send an EOF
  try:
    sock.send("\x04")
    sock.shutdown()
    peer_cert=sock.get_peer_certificate()
    sock.close()
  except SSL.Error,e:
    print e

  exit_status=0
  exit_message=[]

  cur_date = datetime.datetime.utcnow()
  cert_nbefore = datetime.datetime.strptime(peer_cert.get_notBefore(),'%Y%m%d%H%M%SZ')
  cert_nafter = datetime.datetime.strptime(peer_cert.get_notAfter(),'%Y%m%d%H%M%SZ')

  expire_days = int((cert_nafter - cur_date).days)

  if cert_nbefore > cur_date:
    if exit_status < 2: 
      exit_status = 2
    exit_message.append('C: cert is not valid')
  elif expire_days < 0:
    if exit_status < 2: 
      exit_status = 2
    exit_message.append('Expire critical (expired)')
  elif options['critical'] > expire_days:
    if exit_status < 2: 
      exit_status = 2
    exit_message.append('Expire critical')
  elif options['warning'] > expire_days:
    if exit_status < 1: 
      exit_status = 1
    exit_message.append('Expire warning')
  else:
    exit_message.append('Expire OK')

  exit_message.append('['+str(expire_days)+'d]')

  for part in peer_cert.get_subject().get_components():
    if part[0]=='CN':
      cert_cn=part[1]

  if options['cn']!='' and options['cn'].lower()!=cert_cn.lower():
    if exit_status < 2:
      exit_status = 2
    exit_message.append(' - CN mismatch')
  else:
    exit_message.append(' - CN OK')

  exit_message.append(' - cn:'+cert_cn)

  print ''.join(exit_message)
  sys.exit(exit_status)

if __name__ == "__main__":
  main()

2

get_pem

host:portに接続し、sedで証明書を抽出して/tmp/host.port.pemに書き込みます。

get_expiration_date

指定されたpemファイルを読み取り、notAfterキーをbash変数として評価します。次に、指定されたロケールでファイル名と有効期限が切れる日付を出力します。

get_pem_expiration_dates

入力ファイルを繰り返し、上記の関数を実行します。

check.pems.sh

#!/bin/bash
get_pem () {
    openssl s_client -connect $1:$2 < /dev/null |& \
    sed -n '/BEGIN CERTIFICATE/,/END CERTIFICATE/w'/tmp/$1.$2.pem
}
get_expiration_date () {
    local pemfile=$1 notAfter
    if [ -s $pemfile ]; then
        eval `
          openssl x509 -noout -enddate -in /tmp/$pemfile |
          sed -E 's/=(.*)/="\1"/'
        `
        printf "%40s: " $pemfile
        LC_ALL=ru_RU.utf-8 date -d "$notAfter" +%c
    else
        printf "%40s: %s\n" $pemfile '???'
    fi
}

get_pem_expiration_dates () {
    local pemfile server port
    while read host; do
        pemfile=${host/ /.}.pem
        server=${host% *}
        port=${host#* }
        if [ ! -f /tmp/$pemfile ]; then get_pem $server $port; fi
        if [   -f /tmp/$pemfile ]; then get_expiration_date $pemfile; fi
    done < ${1:-input.txt}
}

if [ -f "$1" ]; then
    get_pem_expiration_dates "$1" ; fi

サンプル出力

 $ sh check.pems.sh input.txt
             www.google.com.443.pem: Пн. 30 дек. 2013 01:00:00
              superuser.com.443.pem: Чт. 13 марта 2014 13:00:00
               slashdot.org.443.pem: Сб. 24 мая 2014 00:49:50
          movielens.umn.edu.443.pem: ???
 $ cat input.txt
 www.google.com 443
 superuser.com 443
 slashdot.org 443
 movielens.umn.edu 443

そしてあなたの質問に答えるために:

$ openssl s_client -connect www.google.com:443 </dev/null |& \
sed -n '/BEGIN CERTIFICATE/,/END CERTIFICATE/p' | \
openssl x509 -noout -enddate |& \
grep ^notAfter

サーバはSNIを使用している場合は、インクルードする必要があり-servername、このように、引数を:openssl s_client -servername example.com -connect example.com:443
Flimm

1

残りの日数を出力する、受け入れられた回答の1ライナーバージョンを次に示します。

( export DOMAIN=example.com; echo $(( ( $(date +%s -d "$( echo | openssl s_client -servername $DOMAIN -connect $DOMAIN:443 2>/dev/null | openssl x509 -noout -enddate | sed 's/.*notAfter=\(.*\)$/\1/g' )" ) - $(date +%s) ) / 86400 )) )

www.github.comの例:

$ ( export DOMAIN=www.github.com; echo $(( ( $(date +%s -d "$( echo | openssl s_client -servername $DOMAIN -connect $DOMAIN:443 2>/dev/null | openssl x509 -noout -enddate | sed 's/.*notAfter=\(.*\)$/\1/g' )" ) - $(date +%s) ) / 86400 )) )
210

私は予期しないトークン`輸出」付近に構文エラーが出る
user1130176を

@ user1130176 ( ... )サブシェルの構文はBashに固有の場合があります。別のシェルを使用していると思いますか?
マチューレイ

0

ファイルにhostname:portという形式でポート443を持つホスト名のリストを指定し、ファイル名として指定します。

!/ bin / bash

filename = / root / kns / certs

date1 = $(date | cut -d "" -f2,3,6)

currentDate = $(date -d "$ date1" + "%Y%m%d")

読み取り中-r行

dcert = $(echo | openssl s_client -servername $ line -connect $ line 2> / dev / null | openssl x509 -noout -dates | grep notAfter | cut -d = -f2)

エコーホスト名:$ line endDate = $(date -d "$ dcert" + "%Y%m%d")

d1 = $(date -d "$ endDate" +%s)d2 = $(date -d "$ currentDate" +%s)echo Hostname:$ line-残り日数$(((d1-d2)/ 86400))

echo $ dcert done <"$ filename"

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.