리눅스 SSL 인증서 만료일 확인
어떤 사이트의 SSL 인증서 만료일을 확인하려면 어떻게 해야 할까? 기본적으로 웹 브라우저에서 확인이 가능하다. 예를 들어 www.google.co.kr의 SSL 인증서를 확인해보자.
인터넷 익스플로러 11의 경우 아래와 같이 확인이 가능하다.
구글 크롬의 경우 아래와 같이 확인이 가능하다.
그나저나 구글은 인증서 유효 기간을 꽤 짧은 90일 단위로 가져가나보다.
이처럼 PC에서는 웹 브라우저를 통해 간단히 SSL 인증서의 만료일을 확인할 수 있다.
그런데 리눅스 서버 관리자 입장에서는 어떨까? 현재 웹 서버에 설정된 SSL 인증서가 언제 만료될 것인지, 새로 설치하려고 하는 인증서가 과연 올바른 인증서인지... 미리 확인해보고 싶다면?
아래와 같이 openssl로 확인이 가능하다. 인증서 파일을 지정해주고 -text 해주면 인증서에 관한 많은 정보가 텍스트로 출력된다. 내용 중에 유효 기간에 대한 정보도 포함되어 있다.
[root@CentOS ~]# openssl x509 -in /app/apache/conf/server.crt -noout -text
Certificate:
Data:
Version: 1 (0x0)
Serial Number: 9742171745232909342 (0x873325960774741e)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=XX, L=Default City, O=Default Company Ltd, CN=www.test01.com
Validity
Not Before: May 27 10:02:01 2014 GMT
Not After : May 27 10:02:01 2015 GMT
Subject: C=XX, L=Default City, O=Default Company Ltd, CN=www.test01.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
... 이하 생략 ...
유효 기간에 대한 정보만 간략하게 보려면 -dates를, 만료일만 보고싶다면 -enddate를 붙이면 된다.
[root@CentOS ~]# openssl x509 -in /app/apache/conf/server.crt -noout -dates
notBefore=May 27 10:02:01 2014 GMT
notAfter=May 27 10:02:01 2015 GMT
[root@CentOS ~]#
[root@CentOS ~]# openssl x509 -in /app/apache/conf/server.crt -noout -enddate
notAfter=May 27 10:02:01 2015 GMT
만약 방화벽 등의 이유로 인해 직접 PC에서 웹 브라우저로 접속하여 인증서를 확인해볼 수 없는 상황이라면 어떻게 해야 할까? 이 경우 해당 서버의 HTTPS 포트로 접속할 수 있는 다른 리눅스 장비에서 아래와 같이 openssl을 통해 확인이 가능하다.
[root@CentOS ~]# echo | openssl s_client -connect 192.168.0.101:443 2>/dev/null | openssl x509 -noout -dates
notBefore=May 27 10:02:01 2014 GMT
notAfter=May 27 10:02:01 2015 GMT
공유하기
게시글 관리
구독하기snoopybox'리눅스' 카테고리의 다른 글
리눅스에서 ip 명령어로 IP 설정하는 방법 (6)2014.08.04리눅스 bash IP 유효성 검사 (12)2014.06.19CentOS yum repository mirror 구축하기 (3)2014.06.19리눅스 하이퍼쓰레딩(Hyper Threading) 활성화 확인 방법 (3)2014.06.15리눅스 SSL 사설 인증서 생성하기 (1)2014.05.22리눅스 SSH RSA 비대칭키로 패스워드 없이 접속 (4)2014.05.20리눅스 본딩 구성 (4)2014.02.18리눅스 IP를 변수로 (0)2014.02.04티스토리 뷰
warpmemory 2020. 3. 7. 14:54
# 인증서 정보 확인 openssl x509 -noout -text -in TEST.CRT # 인증서 key 파일 패스워드 확인 openssl rsa -in TEST.KEY -out TEST.KEY -passin pass:'PASSWD' # 인증서 DER -> PEM 방식으로 변경 openssl x509 -in INPUT.CRT -inform DER -out OUTPUT.CRT -outform PEM # 인증서 pfx 파일로 변경(윈도우 용) openssl pkcs12 -export -in TEST.CRT -inkey TEST.KEY -out OUTPUT.PFX -passin pass:'PASSWD' -passout pass:'PASSWD'
글로벌 SSL 인증서 최저가 발급. 와일드카드, 멀티도메인. CSR 자동 생성. PEM, PFX, JKS 변환 제공. 재발급 무제한. 서버 설치 무제한. 모바일지원. SSL Certificate, SSLCERT, HTTP SSL
www.sslcert.co.kr
SSL 인증서를 발급 받으면, CA 에서는 몇개 저장소에 발급 정보를 분산합니다. Sectigo, DigiCert 등 주요 CA 뿐만 아니라, 구글등도 참여하고 있습니다. SCT 자세히 보기 > //certificate.transparency.dev/
1. SSL 도메인 조회
Sectigo 에서 운영하는 SSL 인증서 발급 정보 조회 사이트입니다. //crt.sh/
위 사이트에서 도메인을 입력하여 조회하면, 그간 발급된 인증서 정보가 조회됩니다.
예) naver.com 조회시
2. 현재 유효 상태 여부 (브랜드, 유효기간, SAN 등)
위 csr.sh 검색 결과에서, 특정 ID 를 클릭하면 상세 정보 조회가 가능합니다. 서버 인증서는 공개키 이므로, 이 정보는 SSL 인증서 발급받은곳이나 웹브라우져 및 csr.ch 와 같은 공개 조회 사이트등 어느 곳에서나 조회 가능한 정보입니다.
예제상의 '2592061335' ID 를 가진 SSL 인증서의 유효기간은, 2018-08-01 ~ 2020-07-31 까지 입니다.
현재 글 작성 시점(2021.08.12) 기준으로는, 위 인증서는 이미 만료된 상태입니다.
그리고 CN 은 'm.shop.ya9.naver.com' 이며, 인증서 브랜드는 'Thawte' 입니다.
'2592061335' 링크를 클릭하면 아래와 같이, 매우 상세한 정보 조회가 가능합니다. 이러한 정보는 발급 받은 서버인증서(crt pem) 을 crt decode 사이트에서 디코드해도 동일한 내용으로 확인 가능합니다.