查看端口587、25、110、465、995、143、993上的SSL证书

Question

如何查看端口587、25、110、465、995、143和993上正在使用的SSL证书详细信息

我需要检查使用哪个域名来保护这些端口。

我在这里和谷歌上都搜索过了，但什么也没找到！

Answer 1

使用OpenSSL (默认安装在几乎所有的Linux发行版上，您也可以从Shining Light Productions获得针对Windows的二进制版本)：

openssl s_client -connect host:port -servername host [-starttls protocol]

其中，host是要连接的主机，port是端口号。

-servername host将在TLS握手中包含主机名(通过Server Name Indication extension)，以允许托管同一IP上的多个受保护资源的服务器选择正确的证书。

仅当您正在检查的服务器默认情况下启动纯文本会话并在客户端请求时切换到SSL/TLS时，才需要-starttls protocol部件(在这种情况下，协议必须是smtp、pop3、imap、ftp、xmpp之一)；您应该检查您的服务器配置是否需要开关并相应地包括命令行选项。

Answer 2

您可以使用OpenSSL

openssl s_client -connect x.x.x.x:port

(也可以对整个链使用-showcerts选项。)

假设通常的服务在这些端口上运行，这应该会向您显示端口465、995和993的证书，因为它们是首先启动SSL/TLS连接的协议。

端口587、25 (SMTP)、110 (POP3)和143 (IMAP)通过"START TLS“升级使用SSL/TLS。您需要添加-starttls prot，其中prot是smtp、imap或pop3，视情况而定。

请注意，如果这些服务中的任何一个支持Server Name指示，那么如果您没有首先请求正确的主机名，则可能无法获得所有证书。(不过，对于HTTPS，SNI可能比这些协议更常见。)

获得证书后，可以将PEM块(在BEGIN/END分隔符之间)复制/粘贴(或通过管道)到openssl x509 -text -noout的输入中。主机名应该在主题备用名称(DNS条目)中，或者，如果没有，则在主题DN的CN中。