Sjekk utløpsdato for SSL-sertifikater fra kommandolinjen

 Tue 2020-11-03    SysAdm

For å sjekke utløpsdato på SSL-sertifikater fra kommandolinjen, kjør følgende kommando:

echo | openssl s_client -servername SERVERNAME -connect HOST:PORT 2>/dev/null | openssl x509 -noout -dates

For et tilfeldig valgt sertifikat ser det slik ut:

% echo | openssl s_client -servername google.com -connect google.com:443 2>/dev/null | openssl x509 -noout -dates
notBefore=Oct 6 06:35:57 2020 GMT
notAfter=Dec 29 06:35:57 2020 GMT

notAfter er utløpsdato.

Hvorfor er dette nyttig? Tja, det kan brukes i scripts her og der. For min egen del har jeg som tidligere nevnt en reverseproxy som håndterer SSL-sertifikater og fornyelse av disse, men jeg har også noen systemer som av forskjellige grunner ikke kan ha SSL-håndtering på reverseproxyen. De oppdaterer sertifikatene sine selv, men mekanismene for dette på disse spesifikke systemene er komplekse og fallhøyden er stor. Jeg har derfor laget et lite script som kjøres som del av update-motd-systemet på Linux når jeg logger inn, og det skriver utløpsdatoen for sertifikatet i terminalen.