有没有一种方法可以检查SSL数字证书是否有效，而不需要在web服务器上安装？

Question

在将CA颁发的SSL证书安装到目标web服务器之前，是否有任何工具或机制可以帮助验证该证书？

Answer 1

可以，您可以使用openssl通过s_server命令为您的证书创建测试服务器。这将创建一个响应端口8080上的HTTP请求的最小SSL/TLS服务器：

openssl s_server -accept 8080 -www -cert yourcert.pem -key yourcert.key -CAfile chain.pem

yourcert.pem是X.509证书，yourcert.key是您的私钥，chain.pem包含您的证书和根证书之间的信任链。您的CA应该为您提供yourcert.pem和chain.pem。

然后使用openssl的s_client建立连接：

openssl s_client -connect localhost:8080 -showcerts -CAfile rootca.pem

或在Linux上：

openssl s_client -connect localhost:8080 -showcerts -CApath /etc/ssl/certs

注意:该命令不会验证主机名是否与证书的CN (公用名)或SAN (subjectAltName)匹配。OpenSSL还没有针对这项任务的例程。它将被添加到OpenSSL 1.1中。

Answer 2

验证CA颁发的SSL的最好、最简单的方法是对其进行解码。

这是一个有用的链接，它将帮助你做到这一点：http://www.sslshopper.com/csr-decoder.html

希望这能有所帮助！