10 回答

• 1

  使用SNI

  如果远程服务器正在使用SNI（即，在单个IP地址上共享多个SSL主机），则需要发送正确的主机名才能获得正确的证书 .

  openssl s_client -showcerts -servername www.example.com -connect www.example.com:443 </dev/null
  

  没有SNI

  如果远程服务器未使用SNI，则可以跳过 -servername 参数：

  openssl s_client -showcerts -connect www.example.com:443 </dev/null
  

  要查看站点证书的完整详细信息，您还可以使用此命令链：

  $ echo | \
      openssl s_client -servername www.example.com -connect www.example.com:443 2>/dev/null | \
      openssl x509 -text
  

  回复于 2024-04-29T13:46:04+08:00
• 4

  虽然我同意Ari的回答（并赞同它:)，但我需要做一个额外的步骤，让它在Windows上运行Java（需要部署它）：

  openssl s_client -showcerts -connect www.example.com:443 < /dev/null | openssl x509 -outform DER > derp.der
  

  在添加 openssl x509 -outform DER 转换之前，我从Windows上的keytool收到错误，抱怨证书的格式 . 导入.der文件工作正常 .

  回复于 2024-04-29T13:46:04+08:00
• 367

  事实证明这里有更多的复杂性：我需要提供更多细节才能实现这一目标 . 我认为它与需要客户端身份验证的连接这一事实有关，并且hankshake需要更多信息才能继续到转储证书的阶段 .

  这是我的工作命令：

  openssl s_client -connect host:port -key our_private_key.pem -showcerts \
                   -cert our_server-signed_cert.pem
  

  希望这对任何能够提供更多信息的人来说都是正确的方向 .

  回复于 2024-04-29T13:46:04+08:00
• 5

  最简单的命令行，包括将其添加到密钥库的PEM输出，以及人类可读输出，还支持SNI，如果您使用的是HTTP服务器，这很重要：

  openssl s_client -servername example.com -connect example.com:443 \
      </dev/null 2>/dev/null | openssl x509 -text
  

  -servername选项用于启用SNI支持，openssl x509 -text以人类可读格式打印证书 .

  回复于 2024-04-29T13:46:04+08:00
• 60

  要获取远程服务器的证书，您可以使用 openssl 工具，您可以在 BEGIN CERTIFICATE 和 END CERTIFICATE 之间找到它，您需要将其复制并粘贴到证书文件（CRT）中 .

  这是展示它的命令：

  ex +'/BEGIN CERTIFICATE/,/END CERTIFICATE/p' <(echo | openssl s_client -showcerts -connect example.com:443) -scq > file.crt
  

  要从链返回所有证书，只需添加 g （全局），如：

  ex +'g/BEGIN CERTIFICATE/,/END CERTIFICATE/p' <(echo | openssl s_client -showcerts -connect example.com:443) -scq
  

  然后，您只需将证书文件（ file.crt ）导入到您的钥匙串中并使其受信任，因此Java不应该抱怨 .

  在OS X上，您可以双击该文件或拖放您的Keychain Access，这样它就会出现在登录/证书中 . 然后双击导入的证书并使其始终信任SSL .

  在CentOS 5上，您可以将它们附加到 /etc/pki/tls/certs/ca-bundle.crt 文件中（并运行： sudo update-ca-trust force-enable ），或者在CentOS 6中将它们复制到 /etc/pki/ca-trust/source/anchors/ 并运行 sudo update-ca-trust extract .

  在Ubuntu中，将它们复制到 /usr/local/share/ca-certificates 并运行 sudo update-ca-certificates .

  回复于 2024-04-29T13:46:04+08:00
• 28

  一个单行程序以PEM格式从远程服务器提取证书，这次使用 sed ：

  openssl s_client -connect www.google.com:443 2>/dev/null </dev/null |  sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
  

  回复于 2024-04-29T13:46:04+08:00
• 4

  HOST=gmail-pop.l.google.com
  PORT=995
  
  openssl s_client -servername $HOST -connect $HOST:$PORT < /dev/null 2>/dev/null | openssl x509 -outform pem
  

  回复于 2024-04-29T13:46:04+08:00
• 21

  您可以使用下一个bash脚本获取并存储服务器根证书：

  CERTS=$(echo -n | openssl s_client -connect $HOST_NAME:$PORT -showcerts | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p')
  echo "$CERTS" | awk -v RS="-----BEGIN CERTIFICATE-----" 'NR > 1 { printf RS $0 > "'$SERVER_ROOT_CERTIFICATE'"; close("'$SERVER_ROOT_CERTIFICATE'") }'
  

  只需覆盖所需的变量 .

  回复于 2024-04-29T13:46:04+08:00
• 11

  仅打印证书链而不打印服务器的证书：

  # MYHOST=myhost.com
  # MYPORT=443
  # openssl s_client -connect ${MYHOST}:${MYPORT} -showcerts 2>/dev/null </dev/null | awk '/^.*'"${MYHOST}"'/,/-----END CERTIFICATE-----/{next;}/-----BEGIN/,/-----END CERTIFICATE-----/{print}'
  

  在CentOS / RHEL 6/7上更新CA信任：

  # update-ca-trust enable
  # openssl s_client -connect ${MYHOST}:${MYPORT} -showcerts 2>/dev/null </dev/null | awk '/^.*'"${MYHOST}"'/,/-----END CERTIFICATE-----/{next;}/-----BEGIN/,/-----END CERTIFICATE-----/{print}' >/etc/pki/ca-trust/source/anchors/myca.cert
  # update-ca-trust extract
  

  在CentOS / RHEL 5上：

  # openssl s_client -connect ${MYHOST}:${MYPORT} -showcerts 2>/dev/null </dev/null | awk '/^.*'"${MYHOST}"'/,/-----END CERTIFICATE-----/{next;}/-----BEGIN/,/-----END CERTIFICATE-----/{print}' >>/etc/pki/tls/certs/ca-bundle.crt
  

  回复于 2024-04-29T13:46:04+08:00
• 36

  为了像我这样的人在访问AWS CloudFront但是失败时试图遵循这些好建议的好处，诀窍是添加 -servername domain.name.. .

  资料来源：https://serverfault.com/a/780450/8972

  回复于 2024-04-29T13:46:04+08:00