Comment puis-je afficher les détails du certificat SSL utilisé sur les ports 587, 25, 110, 465, 995, 143 et 993
Je dois vérifier quel nom de domaine est utilisé pour sécuriser ces ports.
J'ai cherché ici et sur google mais je ne trouve rien!
Utilisez OpenSSL (installé par défaut sur presque toutes les distributions Linux, vous pouvez également obtenir une version binaire pour Windows de Shining Light Productions ):
openssl s_client -connect Host:port -servername Host [-starttls protocol]
où Host
est l'hôte auquel vous souhaitez vous connecter et port
est le numéro de port.
-servername Host
inclura le nom d'hôte dans la négociation TLS (via extension d'indication de nom de serveur ), pour permettre aux serveurs hébergeant plusieurs ressources protégées sur la même IP de choisir le certificat correct.
Le -starttls protocol
une partie n'est nécessaire que si le serveur que vous vérifiez démarre une session de texte brut par défaut et passe à SSL/TLS plus tard, lorsque le client le demande (dans ce cas, le protocole doit être l'un des smtp
, pop3
, imap
, ftp
, xmpp
); vous devez vérifier si la configuration de votre serveur nécessite le commutateur et inclure l'option de ligne de commande en conséquence.
Vous pouvez utiliser OpenSSL :
openssl s_client -connect x.x.x.x:port
(Vous pouvez également utiliser le -showcerts
option pour la chaîne complète.)
En supposant que les services habituels s'exécutent sur ces ports, cela devrait vous montrer les certificats pour les ports 465, 995 et 993, car ce sont des protocoles où la connexion SSL/TLS est initiée en premier.
Les ports 587, 25 (SMTP), 110 (POP3) et 143 (IMAP) utilisent SSL/TLS via une mise à niveau "START TLS". Vous devrez ajouter -starttls prot
où prot
est smtp
, imap
ou pop3
, selon le cas.
Notez que si l'un de ces services prend en charge l'indication de nom de serveur, vous risquez de ne pas obtenir tous les certificats, si vous ne demandez pas le nom d'hôte correct en premier lieu. (Cependant, SNI est probablement plus courant pour HTTPS que pour ces protocoles.)
Une fois le certificat obtenu, vous pouvez copier/coller (ou diriger) le bloc PEM (entre BEGIN
/END
délimiteurs) dans l'entrée de openssl x509 -text -noout
. Les noms d'hôte doivent figurer dans les noms alternatifs de sujet (entrées DNS) ou, s'ils sont absents, dans le CN du nom distinctif du sujet.