openssl证书查看

㈠ 如何使用openssl 读取 x509证

用php的openssl_x509_parse函数解析用户证书user.cer和根证书server.cer ,在比较用户证书与根证书的颁发机构等信息,如果是相同的则说明用户证书是根证书颁发，即为合法证书，反之则不合法生成证书成功，但打开myCer.crt证书读取时，执行到d2i_X509(&x,(const unsigned char)&buf,len) 时，返回空。不加下面这几行，就提示uplink错误,加了以后x值为0:extern "C"{#undef APPMACROS_ONLY#include

㈡ linux下使用openssl检测PE文件数字签名的证书是否有效

windows在判断证书是否有效时不检测证书的有效期, 即使该证书超过有效期好几年了, 只要没有被吊销, 微软仍然认为它是有效的. 但在 openssl 提供的 X509_verify_cert 函数会验证证书的有效期, 因此需要注释掉验证有效期的那部分代码并重新编译 openssl...
OK, 从 openssl 官网 上下载最新的版本, 好吧, 现在还是刚刚修复 Heartbleed 漏洞的 1.0.1g 版本...
下载, 解压, 看下 INSTALL 文档, 先试试可以编译不:
./config
make

运气不错, 不用安装什么依赖直接编译成功. 将代码根目录产生的 libcrypto.a 添加到项目中测试下, OK, 可以使用, 下面开始折腾了~
在 crypto/x509/x509_vfy.c 的 153 行找到 X509_verify_cert 函数(在线查看), 局部变量 ok 缓存每一步验证是否通过, 它依次调用了:
check_issued
check_chain_extensions
check_name_constraints
check_trust
check_revocation
internal_verify
check_policy

其中 internal_verify (在线查看)验证了证书的有效期, 进入这个函数, 在 1654 行找到这个代码:
ok = check_cert_time(ctx, xs);
if (!ok)
goto end;

看看 check_cert_time 函数, 确认是检查 notBefore 和 notAfter, 因此将上面三行代码注释掉, 验证证书时就不会检测有效期了.
然后就是重新编译 openssl, 将 libcrypto.a 集成到项目里了~

㈢ 用openssl命令查看ssl证书信息出错，原因

网上的命令不用于windows服务器，还有证书信息在证书本身打开就可以看到，详情加密算法，协议版本可以搜索：SSL工具。

㈣ 怎样查看SSL证书的有效期自动续期是否生效

方法一：直接浏览器上查看

1、使用浏览器访问你的站点域名，然后单击地址栏上内面的锁图标进行查容看

上面就是如何查看SSL证书是否过期几种方法的介绍，一般来说最常用的方法就是直接在浏览器上进行查看了，方便快捷。

㈤ openssl访问https，怎么获取证书

1、获取SSL证书，准备域名。
2、淘宝：Gworg获取HTTPS证书。
3、拿到证书后，根据服务器环境安装。
4、APACHE安装SSL证书：网页链接
5、Nginx安装SSL证书：网页链接
6、如果看不到安装教程，直接叫Gworg代理安装。

㈥ 怎样查看SSL证书的有效期

方法一：直接浏览器上查看

1、使用浏览器访问你的站点域名，然后单击地址栏上面的锁图标进行查看

上面就是如何查看SSL证书是否过期几种方法的介绍，一般来说最常用的方法就是直接在浏览器上进行查看了，方便快捷。

㈦ 如何使用openssl命令行查看配置支持的协议

用途：
s_client为一个SSL/TLS客户端程序，与s_server对应，它不仅能与s_server进行通信，也能与任何使用ssl协议的其他服务程序进行通信。
用法：
[cpp] view plain
openssl s_client [-host host] [-port port] [-connect host:port] [-verify depth] [-cert filename]
[-certform DER|PEM] [-key filename] [-keyform DER|PEM] [-pass arg] [-CApath directory] [-CAfile filename]
[-reconnect][-pause] [-showcerts] [-debug] [-msg] [-state] [-nbio_test] [-nbio][-crlf] [-ign_eof] [-no_ign_eof]
[-quiet] [-ssl2] [-ssl3] [-tls1_1] [-tls1_2] [-tls1] [-dtls1] [-no_ssl2][-no_ssl3] [-no_tls1] [-no_tls1_1]
[-no_tls1_2] [-bugs] [-cipher cipherlist] [-starttls protocol] [-engine id] [-tlsextdebug] [-no_ticket]
[-sess_out filename] [-sess_in filename] [-rand file(s)]
选项说明：
-host host：设置服务地址。
-port port：设置服务端口，默认为4433。
-connect host:port：设置服务器地址和端口号。如果没有设置，则默认为本地主机以及端口号4433。
-verify depth：设置证书的验证深度。记得CA也是分层次的吧？如果对方的证书的签名CA不是Root CA,那么你可以再去验证给该CA的证书签名的CA，一直到Root CA. 目前的验证操作即使这条CA链上的某一个证书验证有问题也不会影响对更深层的CA的身份的验证。所以整个CA链上的问题都可以检查出来。当然CA的验证出问题并不会直接造成连接马上断开，好的应用程序可以让你根据验证结果决定下一步怎么走。
-cert filename：使用的证书文件。如果server不要求要证书，这个可以省略。
-certform DER|PEM：证书的格式，一般为DER和PEM。默认为PEM格式。
-key filename：使用的证书私钥文件。
-keyform DER|PEM：证书私钥文件的格式，一般为DER和PEM。默认为PEM格式。
-pass arg：私钥保护口令来源，比如：-pass file:pwd.txt，将私钥保护口令存放在一个文件中，通过此选项来指定，不需要用户来输入口令。
-CApath directory：设置信任CA文件所在路径，此路径中的ca文件名采用特殊的形式：xxx.0，其中xxx为CA证书持有者的哈希值，它通过x509 -hash命令获得。
-CAfile filename：某文件，里面是所有你信任的CA的证书的内容。当你要建立client的证书链的时候也需要用到这个文件。
-reconnect：使用同样的session-id连接同一个server五次，用来测试server的session缓冲功能是否有问题。
-pause：每当读写数据时，sleep 1秒。
-showcerts：显示整条server的证书的CA的证书链。否则只显示server的证书。
-debug：打印所有的调试信息。
-msg：用16进制显示所有的协议数据。
-state：打印SSL session的状态， ssl也是一个协议，当然有状态。
-nbio_test：检查非阻塞socket的I/O运行情况。
-nbio：使用非阻塞socket。
-crlf：把在终端输入的换行回车转化成/r/n送出去。
-ign_eof：当输入文件到达文件尾的时候并不断开连接。
-no_ign_eof：当输入文件到达文件尾的时候断开连接。
-quiet：不打印出session和证书的信息。同时会打开-ign_eof这个选项。
-ssl2、-ssl3、-tls1_1、-tls1_2、-tls1、-dtls1、-no_ssl2、-no_ssl3、-no_tls1、-no_tls1_1、-no_tls1_2：使用的协议状态值。
-bugs：兼容老版本服务端的中的bug。
-cipher cipherlist：由我们自己来决定选用什么加密算法，尽管是由server来决定使用什么算法列表，但它一般都会采用我们送过去的cipher列表里的第一个cipher。
-starttls protocol：protocol可以为smtp或pop3，用于邮件安全传输。
-engine id：硬件引擎。
-tlsextdebug：打印TLS协议中服务器端接收到的额外信息值。
-no_ticket：不支持RFC4507bis会话类型。
-sess_out filename：输出SSL会话信息值到filename中。
-sess_in filename：从filename中获取SSL Session值。
-rand file(s)：指定随机数种子文件，多个文件间用分隔符分开，windows用“;”，OpenVMS用“,“，其他系统用“：”。
连接选项：
如果一个确认的连接到SSL服务器，并显示了从服务器端接收到了的数据，任何操作都被发送到服务器。当交互（这意味着没有给出B<-quiet> 、B<-ign_eof>这两个选项）的时候，如果命令行B<R>,被设置则session有可能会被重启。如果设置的是命令行B<Q>或到达了文件的结尾，连接将会被断开。
注意：
S_client可用于调试SSL服务器端。为了连接一个SSL HTTP服务器，命令如下：
openssl s_client -connect servername:443
一旦和某个SSL server建立连接之后，所有从server得到的数据都会被打印出来，所有你在终端上输入的东西也会被送给server. 这是人机交互式的。这时候不能设置-quiet和 -ign_eof这俩个选项。如果输入的某行开头字母是R，那么在这里session会重启, 如果输入的某行开头是Q，那么连接会被断开。你完成整个输入之后连接也会被断开。
如果连接成功，你可以用HTTP的指令，比如"GET /"什么的去获得网页了。
如果握手失败，原因可能有以下几种：
1. server需要验证你的证书，但你没有证书。
2. 如果肯定不是原因1，那么就慢慢一个一个set以下几个选项：-bugs， -ssl2， -ssl3， -tls1，-no_ssl2，-no_ssl3， -no_dtls。
3. 这可能是因为对方的server处理SSL有bug。
有的时候，client会报错：没有证书可以使用，或者供选择的证书列表是空的。这一般是因为Server没有把给你签名的CA的名字列进它自己认为可以信任的CA列表，你可以用检查一下server的信任CA列表。有的http server只在 client给出了一个URL之后才验证client的证书，这中情况下要设置 -prexit这个选项，并且送给server一个页面请求。
即使使用-cert指明使用的证书，如果server不要求验证client的证书，那么该证书也不会被验证。所以不要以为在命令行里加了-cert 的参数又连接成功就代表你的证书没有问题。
如果验证server的证书有问题，就可以设置-showcerts来看看server的证书的CA链了。
自从SSLv23客户端hello不能够包含压缩方法或扩展仅仅会被支持。
BUGs：
因为该项目有很多选项，好多用的是老的技术，c代码的s_client很难去读取为什么会被关闭。一个典型的SSL客户端项目将会更加简单的。
如果服务器验证失败，B<-verify>将会退出。
B<-prexit>选项是一个很小的空间。当一个session重启后，我们必须报告。

㈧ 如何查看windows服务器端和客户端openssl版本

一、准备工作
1.windows2003添加组件

添加IIS：勾选“应用程序服务器”，然后双击进入下图，勾选“IIS”和“ASP.NET”
添加证书系统：勾选“证书服务”

添加组件的时候要求填写的就按照操作填上就行了，然后下一步，直到完成。

2.把openssl(执行版，有的叫编译后版)解压到d:下，当然哪个盘都可以。
二、获取IIS证书请求
架设好IIS网站后，在【目录安全性】选项卡中点击【服务器证书】按钮，【下一步】，【新建证书】，【现在准备证书请求－－下一步】，输入【名称】,输入【单位】和【部门】，输入【公用名称】，选择【国家】并输入【省】和【市县】并【下一步】，【下一步】，【下一步】，【完成】，IIS的证书请求已经获取，就是C:\certreq.txt。这里请牢记输入的信息。

三、开始操作openssl
（cmd –> d:\openssl-0.9.7\out32dll
下执行下面的操作，注意openssl.cnf文件，后面命令都是用它编译的）
1.生成自签名根证书
openssl
req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -days 3650 -config
d:\openssl-0.9.7\apps\openssl.cnf
PEM pass phrase：根证书密码，当然很重要！
Country
Name: CN //两个字母的国家代号
State or Province Name: guang dong //省份名称
Locality
Name: guang zhou //城市名称
Organization Name: sunrising //公司名称

Organizational Unit Name: home //部门名称
Common Name: besunny
//你的姓名(要是生成服务器端的证书一定要输入域名或者ip地址)
Email Address: Email地址
2.把cakey.pem 拷贝到\demoCA\private,
把cacert.pem拷贝到out32dll\demoCA
cakey.pem
demoCA\private
cacert.pem
demoCA
提醒：这时候，已经有cakey.pem:ca的私钥文件，cacert.pem:ca的自签名根证书，certreq.txt:IIS的证书请求文件，三个文件。
3.用CA证书cacert.pem为IIS请求certreq.txt签发证书server.pem

openssl ca -in certreq.txt -out server.pem -config
d:\openssl-0.9.7\apps\openssl.cnf
4.把server.pem转换成x509格式
openssl
x509 -in server.pem -out
server.cer
提醒：这时候，你又得到了两个文件，一个是server.pem，一个是server.cer。现在把bin下的server.cer复制到c:下。
5.将生成的证书server.cer导入到IIS
打开IIS，在【默认网站】上单击右键【属性】，在【目录安全性】选项卡中点击【服务器证书】按钮，【下一步】，选择【处理挂起的请求并安装证书】并【下一步】，正常情况下，您已经看到了文本框中就是c:\server.cer，如果不是，自己点【浏览】按钮去找并【下一步】，【下一步】，【完成】。回到【目录安全性】选项卡在【安全通信】栏目中单击【编辑】按钮，勾上【要求安全通道(SSL)】，勾上【要求128位加密】，选择【要求客户端证书】，点击【确定】按钮。
6.生成客户端证书
openssl
req -newkey rsa:1024 -keyout clikey.pem -out clireq.pem -days 365 -config
d:\openssl-0.9.7\apps\openssl.cnf
证书信息自己填写，有些内容要与根证书一致。
7.CA签发客户端证书
openssl ca -in
clireq.pem -out client.crt -config d:\openssl-0.9.7\apps\openssl.cnf
8.将客户端证书转换为pk12格式

openssl pkcs12 -export -clcerts -in client.crt -inkey clikey.pem -out
client.p12 -config d:\openssl-0.9.7\apps\openssl.cnf
9.安装信任的根证书
把cacert.pem改名为cacert.cer，双击cacert.cer文件，打开证书信息窗口，单击【安装证书】按钮，【下一步】。
提醒，下面是最关键的：
选择【将所有的证书放入下列存储区】，点击【浏览】按钮
[url=file:///C:/Documents][/url]

选择【受信任的根证书颁发机构】，勾选【物理存储区】，选择【受信任的根证书颁发机构】，点【本地计算机】，并点击【确定】，【下一步】，【完成】，【是】，根证书安装完毕！勾选【物理存储区”，选择“受信任的根证书颁发机构”，点“本地计算机”，然后点“确定”。
[url=file:///C:/Documents][/url]
“clent.crt”的安装也是上面相同的步骤。
10.安装客户端证书
找到client.p12文件拷贝到本地计算机，然后双击，【下一步】，【下一步】，输入客户端证书的密码并【下一步】，【下一步】，【完成】，【确定】。到此，客户端的证书也已经安完毕。

提醒：
最好把cacert.cer文件作为受新人的根证书安装到本地。我架设的是提供给内网使用的，所以Common
Name直接是内网IP，当然可以是域名，如果导入cacert.cer后，本地计算机就识别https://你的地址是可信任网站，直接由服务器就识别客户端的证书，然后就可以登陆了。

如果没有导入cacert.cer根证书，会提示下面的：

点“是”继续就可以了。然后还会弹出选择客户端数字证书的提示框。