当DNS提供多个IP地址之一时，如何验证特定计算机的证书？

Question

我有一个使用Apache的6台前端计算机的云设置。我安装了一个新的SSL证书。现在我要验证所有的机器都有证书。

问题是，如果我只使用https://www.example.com/，IP地址将被随机分配，我将能够验证其中一台计算机。DNS以简单的循环形式返回6个IP地址中的一个。

我知道如何使用/etc/hosts文件强制我的计算机上的IP地址，但我希望有一种更简单的方法来做到这一点。比如使用curl并沿域名指定IP地址？

我更喜欢把它作为命令行(wget，curl，open_ssl.)这样，我就可以自动地编写一个脚本并验证证书的日期，并确保所有的计算机都提供正确的证书。命令应该下载证书，以便在我的客户端计算机上进行检查。

Answer 1

您可以为有关站点提供一个显式的IP地址curl，即

$ curl --resolve example.com:443:192.0.2.4 https://example.com

您还可以在IP中使用openssl s_client，并为SNI提供一个显式主机名：

$ openssl s_client -connect 192.0.2.4:443 -servername example.com