有没有办法以编程方式检查 SAN SSL 证书的主题备用名称?
例如,使用以下命令我可以获得很多信息,但不是所有的 SAN:
openssl s_client -connect www.website.com:443
非常感谢你!
问问题
104239 次
4 回答
144
要获取证书的主题备用名称 (SAN),请使用以下命令:
openssl s_client -connect website.com:443 </dev/null 2>/dev/null | openssl x509 -noout -text | grep DNS:
首先,这个命令连接到我们想要的站点(website.com,端口 443 用于 SSL):
openssl s_client -connect website.com:443
然后通过管道 ( |) 将其输入此命令:
openssl x509 -noout -text
这将获取证书文件并输出其所有详细信息。该-noout标志阻止它输出我们不需要的(base64 编码的)证书文件本身。该-text标志告诉它以文本形式输出证书详细信息。
通常有很多我们不关心的输出(签名、颁发者、扩展等),所以我们将其通过管道传输到一个简单的 grep 中:
grep DNS:
由于 SAN 条目以 this 开头,DNS:因此只返回包含该条目的行,剥离所有其他信息并为我们留下所需的信息。
您可能会注意到该命令没有干净地退出;openssl s_client实际上充当客户端并使连接保持打开状态,等待输入。如果您希望它立即退出(例如,在 shell 脚本中解析输出),只需通过管道echo输入:
echo | openssl s_client -connect website.com:443 | openssl x509 -noout -text | grep DNS:
如何直接从文件中获取 SAN?
为此,您不需要该openssl s_client命令。只需添加命令并再次通过 grep 管道,例如-in MyCertificate.crt:openssl x509
openssl x509 -noout -text -in MyCertificate.crt | grep DNS:
于 2012-10-29T20:11:52.170 回答
7
如果您只想查看SAN,这grep DNS:是显而易见的解决方案。
如果你想有一个更清晰的列表来进一步处理,你可以使用这个 Perl 正则表达式来提取名称:@names=/\sDNS:([^\s,]+)/g
例如:
true | openssl s_client -connect example.com:443 2>/dev/null \
| openssl x509 -noout -text \
| perl -l -0777 -ne '@names=/\bDNS:([^\s,]+)/g; print join("\n", sort @names);'
这将输出:
example.com
example.edu
example.net
example.org
www.example.com
www.example.edu
www.example.net
www.example.org
因此,您可以将其通过管道传输到while read name; do echo "do stuff with $name"; done等。
或者对于一行上的逗号分隔列表,替换join("\n",为join(",",
(-0777perl 的开关使它一次读取整个输入,而不是逐行读取)
于 2019-09-18T09:56:55.483 回答
5
也可以使用捆绑的 openssl 功能:
openssl s_client -connect website.com:443 </dev/null | openssl x509 -noout -ext subjectAltName
于 2020-03-06T12:39:18.397 回答
3
有没有办法以编程方式检查 SAN SSL 证书的备用名称?
X509 证书中可能有多个 SAN。以下内容来自SSL/TLS 客户端的 OpenSSL wiki 。它遍历名称并打印它们。
您可以从 TLS 连接、内存或文件系统X509*等函数中获取。SSL_get_peer_certificated2i_X509PEM_read_bio_X509
void print_san_name(const char* label, X509* const cert)
{
int success = 0;
GENERAL_NAMES* names = NULL;
unsigned char* utf8 = NULL;
do
{
if(!cert) break; /* failed */
names = X509_get_ext_d2i(cert, NID_subject_alt_name, 0, 0 );
if(!names) break;
int i = 0, count = sk_GENERAL_NAME_num(names);
if(!count) break; /* failed */
for( i = 0; i < count; ++i )
{
GENERAL_NAME* entry = sk_GENERAL_NAME_value(names, i);
if(!entry) continue;
if(GEN_DNS == entry->type)
{
int len1 = 0, len2 = -1;
len1 = ASN1_STRING_to_UTF8(&utf8, entry->d.dNSName);
if(utf8) {
len2 = (int)strlen((const char*)utf8);
}
if(len1 != len2) {
fprintf(stderr, " Strlen and ASN1_STRING size do not match (embedded null?): %d vs %d\n", len2, len1);
}
/* If there's a problem with string lengths, then */
/* we skip the candidate and move on to the next. */
/* Another policy would be to fails since it probably */
/* indicates the client is under attack. */
if(utf8 && len1 && len2 && (len1 == len2)) {
fprintf(stdout, " %s: %s\n", label, utf8);
success = 1;
}
if(utf8) {
OPENSSL_free(utf8), utf8 = NULL;
}
}
else
{
fprintf(stderr, " Unknown GENERAL_NAME type: %d\n", entry->type);
}
}
} while (0);
if(names)
GENERAL_NAMES_free(names);
if(utf8)
OPENSSL_free(utf8);
if(!success)
fprintf(stdout, " %s: <not available>\n", label);
}
于 2017-02-27T04:12:12.850 回答