脚本获取 TLS/SSL 证书失效日期

在 Web 服务器上可以通过 TLS/SSL 来对服务器和浏览器之间的连接进行加密，TLS/SSL 使用 X509 证书来进行加密，当证书失效后浏览器访问该 Web 服务器就会出现错误提示。 通过下面这个脚本能够获取 TLS/SSL 证书的生效日期和失效日期

exec 2>/dev/null
openssl s_client -servername ${SERVER_NAME} -connect ${SERVER_NAME}:${PORT} | openssl x509 -noout -dates

notBefore=Jul  1 01:16:03 2021 GMT
notAfter=Aug  2 01:16:03 2022 GMT

openssl 是一款非常好用的 TLS/SSL 诊断工具，这里用到了以下参数：

s_client

将 openssl 作为 TLS/SSL 客户端工具使用

-servername ${SERVER_NAME}

设置 TLS 的 SNI（Server Name Indication）扩展，该字段用来解决一个服务器拥有多个域名的情况

-connect \({SERVER_NAME}:\){PORT}

指定要连接的 TLS/SSL 服务器的地址与端口

x509

X509 证书数据解析工具

-noout

不显示证书内容，只显示证书的状态

-dates

输出 TLS/SSL 证书的生效日期与实效日期

我们还可以使用 openssl x509 直接解析 PEM 格式的证书文件：

openssl x509 -noout -dates ${PEM_FILE_PATH}

我们甚至可以直接检查证书是否会在多少秒后失效，从而达到预警的效果：

exec 2>/dev/null
openssl s_client -servername ${SERVER_NAME} -connect ${SERVER_NAME}:${PORT} | openssl x509 -noout -checkend $((365*24*3600))

Certificate will not expire