linux查看服务端证书(keytool和openssl)

最新推荐文章于 2025-05-01 13:43:21 发布
最新推荐文章于 2025-05-01 13:43:21 发布
阅读量2.5k 收藏 6
点赞数 14
CC 4.0 BY-SA版权
文章标签: linux 运维 服务器 keytool openssl http 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/promise524/article/details/142471388

查看服务器端的证书时,可以通过导入服务器的公钥证书文件,或者直接从服务器上抓取并查看证书。常见以下几种方法:

方法 1:直接从服务器上抓取并查看证书

可以通过 keytool 来连接远程服务器的端口,并查看其 SSL/TLS 证书:

keytool -printcert -rfc -sslserver <hostname>:<port>
  • <hostname>:服务器的主机名或 IP 地址。
  • <port>:服务器使用 SSL/TLS 的端口号,通常是 443(HTTPS)或其他端口。

假设需要查看 www.test.com 网站的证书:

keytool -printcert -rfc -sslserver www.test.com:443

运行此命令后,将看到服务器的证书详细信息,包括证书链中的所有证书、颁发者信息、公钥、有效期等。

方法 2:通过 openssl 抓取并查看证书

如果不想使用 keytool,可以使用 openssl 工具来抓取服务器端的证书,然后通过 keytool 查看:

  1. 使用 openssl 抓取服务器证书

    openssl s_client -connect <hostname>:<port> -showcerts

    这将输出服务器的证书链,包含服务器证书及其链中其他证书。

  2. 保存证书

    将证书保存到一个文件(例如 server.crt)中。

  3. 使用 keytool 查看证书

    keytool -printcert -file server.crt

方法 3:下载并查看证书文件

有时,可能已经从服务器上下载了证书文件(如 .cer.crt 文件),可以直接使用 keytool 查看:

keytool -printcert -file <cert-file-path>

keytool -printcert -file server.cer

证书信息解析

在输出结果中,你可以看到以下信息:

  • Owner:证书的拥有者信息(通常包括 CN、OU、O、L、ST、C 等)。
  • Issuer:证书的颁发者信息。
  • Serial number:证书的序列号。
  • Valid from / to:证书的有效期。
  • Signature algorithm:签名算法(如 SHA256withRSA)。
  • Public key:公钥的详细信息。

通过这些方法,可以方便地查看服务器的证书信息,并检查证书是否有效,或进一步用于信任链验证等操作。

promise524
关注
OpenSSL创建SSL证书
悦分享
06-03 5494
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
linux添加ssl信任根证书,linux系统添加根证书linux证书信任列表
weixin_42363510的博客
05-03 808
1.linux 访问 https 证书问题[root@boss-test-dev001-jydx ~]# curl -v https://mobile.mycard520.com.tw* About to connect() to mobile.mycard520.com.tw port 443 (#0)* Trying 220.130.127.122... connected* Connec...
Linux查看证书信息(.jks、.kdb、.crt、.cer、.pem、.p12)
promise524的博客
12-03 1891
Linux 分别实现查看.jks.kdb.crt.cer.pem.p12文件中证书详细信息
linux: 使用openssl查看证书的用途,判断能签发证书
十年运维开发经验的王义杰在此分享自己的知识和经验
02-08 1057
使用OpenSSL查看证书的用途判断是否能签发证书主要涉及到查看证书中的“Key Usage”“Extended Key Usage”两个字段。在输出信息中,查找“Key Usage”“Extended Key Usage”字段。这些字段指示了证书的用途。这意味着证书可以用于数字签名签发其他证书,并且它被特别指定用于Web服务器客户端身份验证。通过以上步骤,我们可以了解证书的用途并判断它是否能够签发其他证书
Linux中SSL证书的使用与配置
最新发布
weixin_42605397的博客
05-01 870
本文主要介绍如何在Linux环境下使用配置SSL证书,以确保网络通讯的安全性。内容涵盖了从查看当前信任的根证书颁发机构,创建证书颁发机构,生成证书签名请求,签署证书签名请求,备份安装证书,配置Web服务器使用SSL,到最后测试SSL网站等一系列详细步骤。通过实践操作,展示了证书SSL在网络安全中的作用以及如何在实际环境中实施。
如何查看linux上的所有证书
m0_57236802的博客
12-02 7881
Linux查看所有证书通常涉及查看系统中存储证书的几个关键位置。证书可能存储在不同的路径中,具体取决于你的 Linux 发行版安装的软件。请注意,查看管理证书可能需要相应的权限,因此某些命令可能需要以 root 用户或使用。此外,具体的路径命令可能根据你的 Linux 发行版安装的软件有所不同。
linux查cer证书信息,openssl 查看证书
热门推荐
weixin_28752743的博客
05-08 1万+
查看证书# 查看KEY信息> openssl rsa -noout -text -in myserver.key# 查看CSR信息> openssl req -noout -text -in myserver.csr# 查看证书信息> openssl x509 -noout -text -in ca.crt# 验证证书# 会提示self signed> openssl ve...
https证书_linux查看
lliu2004004的博客
06-25 1130
https证书_linux查看
Linux服务器查看SSL证书详细信息的完全指南
zhlh_xt的专栏
12-02 2295
本文详细介绍了在Linux服务器查看管理SSL证书的各种方法命令。针对系统管理员IT专业人士,我们提供了使用OpenSSL工具查看本地远程证书信息、验证证书有效性、检查私钥匹配等操作的具体步骤。本指南旨在帮助新手Linux管理员快速掌握SSL证书管理技能,同时为经验丰富的管理员提供便捷的参考工具。
Linux下如何根据域名自签发OpenSSL证书与常用证书转换
踏歌行的专栏
10-11 1869
Linux下如何根据域名自签发各种SSL证书,这里我们以Apache、Tomcat、Nginx为例。
Openssl自签证书相关知识
weixin_42211693的博客
03-27 1112
检查是否已安装。
Linux平台openssl工具生成CA证书的命令 配置文件 证书
12-24
文档包含一篇《openssl生成CA证书过程》及 openssl.cnf、*.key、*.pem、*.csr、*.crt文件共13个文件,按照文档的指导操作可以生成类似的文件。
windowslinux下自制证书进行验证测试
02-01
使用openssl工具在WindowsLinux下自制证书一致 创建ca、server、client三个文件夹存放制作好的证书
linux下Tomcat+OpenSSL配置单向&双向认证(自制证书)
White_Lee的专栏
03-22 1194
背景 由于ios将在2017年1月1日起强制实施ATS安全策略,所有通讯必须使用https传输,本文只针对自制证书,但目前尚不确定自制证书是否能通过appstore审核。 1、必须支持传输层安全(TLS)协议1.2以上版本 2、证书必须使用SHA256或更高的哈希算法签名 3、必须使用2048位以上RSA密钥或256位以上ECC算法等等 4、证书必须是V3版本 以上是几个注意点。主要针对ios的ATS策略 ...
linux怎么查看证书库,curl --resolve 查看证书情况
weixin_35377028的博客
05-15 3853
通过curl 解析证书[root@harbor ~]# curl --resolve 'www.abc.com:127.0.0.1' https://www.abc.com/ -vvv* Couldn't parse CURLOPT_RESOLVE entry 'www.abc.com:127.0.0.1'!* Trying 117.121.111.212:...* TCP_NODELAY ...
Linux证书访问
metpear的博客
07-17 756
工作需要用到多台Linux的机器,每次访问都需要输入密码。 使用证书登录,可以达到免密的效果。 配置步骤如下: 跳板机(操作的机子): 为当前用户生成ssh公钥。如果当前非目标用户请切换到目标用户(su 用户名) ssh-keygen-t rsa 连续敲3次回车即可,生成跳板机的公钥私钥。默认生成的文件在 ~/.ssh 中 拷贝公钥到目标机器上:访问用户可能无法用密码登录,...
linux查看证书文件,linux系统添加根证书 linux证书信任列表
weixin_34513436的博客
04-28 3293
1.linux 访问 https 证书问题[root@boss-test-dev001-jydx~]#curl-vhttps://mobile.mycard520.com.tw*Abouttoconnect()tomobile.mycard520.com.twport443(#0)*Trying220.130.127.122...connected*Connec...
linux查看系统证书库,linux系统学习第八天-<<工程师技术>>
weixin_29012765的博客
05-01 771
两台虚拟机,均修改防火器与主机名虚拟机server0:# firewall-cmd --set-default-zone=trusted# echo server0.example.com > /etc/hostname# cat /etc/hostname虚拟机desktop0:# firewall-cmd --set-default-zone=trusted# echo deskto...
linux或者windows上直观查看linux下生成的自签名证书
weixin_30894583的博客
09-17 299
linux查看 windows上查看 需要把pem后缀修改为crt 转载于:https://www.cnblogs.com/lqynkdcwy/p/9664080.html
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building f 我的linux系统用什么命令可以查看jdk的证书是否存在
04-19
<think>好的,用户现在遇到了一个SSL握手异常的问题,具体错误是PKIX path building failed,也就是JDK无法找到有效的证书路径。他们已经在之前的对话中询问了如何在CentOS查看JDK版本,现在需要进一步解决证书相关的问题。用户提到他们想在Linux系统中查看JDK证书是否存在,以解决这个异常。 首先,我需要回忆JDK证书存储的位置。通常,JDK的证书存放在其安装目录下的lib/security/cacerts文件中。这个文件是一个密钥库,包含了受信任的CA证书。用户可能需要检查这个文件是否存在,或者其中是否缺少某个特定的证书。 接下来,用户可能需要知道如何列出cacerts中的证书keytool命令是JDK自带的工具,可以用来管理密钥库。使用keytool -list -keystore命令可以查看证书列表。但需要注意,默认的密码是changeit,如果用户修改过密码,可能需要提供正确的密码。 另外,用户可能需要确认JDK的安装路径是否正确。如果系统中有多个JDK版本,可能会指向错误的路径。可以通过update-alternatives --config java来选择正确的JDK版本,或者直接检查JAVA_HOME环境变量是否设置正确。 如果用户发现缺少某个特定的证书,他们需要知道如何导入。这涉及到从网站导出证书,然后使用keytool -import命令添加到cacerts中。可能需要使用openssl工具来获取远程服务器证书链,然后逐级导入。 此外,用户可能需要检查应用程序是否使用了正确的证书库。有些应用程序可能会指定自己的信任库,而不是使用JDK默认的cacerts。这时候需要检查应用的配置,确保指向正确的密钥库文件。 还需要考虑证书是否过期或被吊销。即使证书存在于cacerts中,如果过期或被吊销,也会导致验证失败。使用keytool -list -v可以查看证书的详细信息,包括有效期。 用户的问题可能涉及到多个步骤,需要分步引导他们检查证书是否存在、是否正确安装,以及是否需要导入新的证书。同时,提醒他们在操作前备份cacerts文件,避免操作失误导致系统问题。 最后,根据用户之前的提问,他们可能对Linux环境下的JDK管理不太熟悉,因此需要提供详细的命令示例可能的路径,确保他们能够一步步执行操作,解决SSL握手异常的问题。</think>--- ### 分步解决方案:排查JDK证书缺失导致的SSL异常 --- #### **一、定位JDK证书存储路径** JDK默认信任证书库为`cacerts`文件,路径根据JDK安装位置而定。常见路径如下: ```bash # OpenJDK标准路径 $JAVA_HOME/jre/lib/security/cacerts # 典型示例(根据实际安装版本调整): /usr/lib/jvm/java-17-openjdk/lib/security/cacerts ``` --- #### **二、验证证书库完整性** 1. **列出证书库中所有证书** 使用`keytool`工具(需JDK已安装且环境变量配置正确): ```bash keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit ``` **参数说明**: - `-storepass changeit`:默认密码为`changeit`(若未修改) - 输出示例: ``` keystore type: JKS keystore provider: SUN Your keystore contains 101 entries verisignclass2g2ca [jdk], 2020-05-29, trustedCertEntry, Certificate fingerprint (SHA1): 3A:43:E2:20:FE:7F:3E:A9:65:3D:1E:21:74:2E:AC:2B:75:C2:0F:D8 ... ``` 2. **检查特定证书是否存在** 通过证书别名或指纹过滤: ```bash keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit | grep -i "证书名称/别名" ``` --- #### **三、手动添加缺失证书** 若确认目标证书缺失(如引用[1][^1]、[2][^2]中的HTTPS服务端证书): 1. **导出远程服务器证书链** ```bash openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -outform PEM > example_cert.pem ``` 2. **导入证书到JDK信任库** ```bash keytool -importcert -alias example_alias -file example_cert.pem -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit ``` **注**:操作前建议备份`cacerts`文件。 --- #### **四、常见问题排查 | 问题现象 | 解决方法 | |---------------------------|--------------------------------------------------------------------------| | `keytool`命令未找到 | 检查`$JAVA_HOME/bin`是否加入PATH环境变量,或使用绝对路径执行命令 | | 证书已存在但校验仍失败 | 检查证书是否过期,或服务端是否发送完整证书链(引用[3][^3]中的场景) | | 密码错误导致操作失败 | 若修改过`cacerts`默认密码,需替换命令中的`changeit`为实际密码 | --- #### **五、附加验证方法** 1. **通过Java代码测试证书信任** 创建临时测试类: ```java public class SSLCheck { public static void main(String[] args) throws Exception { new java.net.URL("https://example.com").openConnection().connect(); } } ``` 运行观察是否抛出`SSLHandshakeException`。 2. **检查JVM参数覆盖** 若应用启动时指定了自定义信任库(如`-Djavax.net.ssl.trustStore`),需确认路径是否有效。 --- ### 相关问题 1. 如何修复HTTPS请求中的`PKIX path validation failed`错误? 2. JDK信任库与操作系统证书库有何区别? 3. 如何批量导出/导入JDK证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值