如何通过bash验证与服务器的SSL连接？

Question

我有一个安装证书的服务器。服务器的主机名是abc.example.com。服务器上安装的证书在CN (def.example.com)中具有不同的DNS名称。但是，证书具有SubjAltNames，它同时指定了abc.example.com和def.example.com。此服务器运行Tomcat服务器，并已正确配置keystore。客户端安装了必要的RootCA。我想通过bash脚本验证，如果连接到服务器的尝试在这个场景中成功了。我试着用下面的命令-

`wget --server-response --max-redirect=0 https://abc.example.com:443/myapp`

但是，这两个命令都失败了:证书公共名称def.example.com与请求的主机名abc.example.com不匹配。

关于如何验证安装在客户端上的根-ca是否确实可用于连接到服务器的任何输入？

Answer 1

我建议使用用于SSL调试的openssl s_client SSL客户机，它具有大量相关的命令行标志(您可能可以通过键入man s_client来阅读这些标志，但这在某种程度上是特定于发行版的)。特别是，看看-verify和-showcerts选项。