showcert — маленькая CLI утилитка, альтернатива openssl для просмотра сертификатов. Она умеет 1% того, что может openssl, но зато умеет [почти] все, что нужно в обычной админской жизни и даже немного больше чем openssl. И гораздо проще в использовании. Основные функции:
- Взять сертификат (или цепочку) из stdin, файла(файлов) или из TLS сервиса (HTTPS, POP3S, IMAPS), в том числе через STARTTLS (для SMTP, POP3, IMAP)
- Проверить валидность сертификата.
- Проверить «свежесть» сертификата, и если срок действия истекает через N дней — передать это в коде завершения.
- Распечатать сертификат (цепочку) в краткой форме (только основное), полной, в PEM формате (для сохранения в cert.pem или fullchain.pem).
И все это делается простым, интуитивно-понятным образом, для людей.
Когда я хочу проверить дату истечения, например, почтового сертификата яндекса, немного гуглю, потом сноровисто пишу что-то вроде:
$ echo | openssl s_client -connect mx.yandex.ru:25 -starttls smtp 2>Скопировать» fullchain.pem с сервера (взять его и распечатать в PEM):
$ showcert google.com —chain -o pem > fullchain.pem
У меня после этого дампа (не с гугла, а со своего другого сервера) — даже md5 файлов сошелся!
Так же можно посмотреть или проверить один или несколько локальных файлов сертификатов (fullchain.pem или cert.pem).
Можно добавить —chain чтобы увидеть всю цепочку. И ключ -w тоже работает.
Формат вывода сертификатов
По умолчанию ( -o brief ) выводится краткая информация (все, что обычно важно, минимум лишнего). -o full дает полный дамп (как openssl), -o pem даст сертификат в PEM формате (удобно сделать редирект в файл и получить его на диске).
Еще есть удобный формат -o names — просто распечатывает все имена из сертификата, и его вариация -o dnames , о ней ниже.
Сахар для LetsEncrypt
Как проверить, что сертификат установлен корректно?
Для проверки корректности установленного сертификата откройте диспетчер сертификатов. Сделать это можно следующим способом:
- Для ОС Windows 10 нажмите на значок «Лупа» и введите certmgr.msc.
- В ОС Windows 7 нажмите на кнопку «Пуск» и в поле «Найти программы и файлы» введите certmgr.msc.
В диспетчере сертификатов выберите раздел «Личное», «Сертификаты», после чего откройте ваш сертификат. В общих сведениях о сертификате должно быть указано, что для него есть закрытый ключ. Наличие закрытого ключа означает, что сертификат установлен и готов к работе.
Источник: iitrust.ru