哈嘍大家好,我是鹹魚 我們知道 SSL 證書是會過期的,一旦過期之後需要重新申請。如果沒有及時更換證書的話,就有可能導致網站出問題,給公司業務帶來一定的影響 所以說我們要每隔一定時間去檢查網站上的 SSL 證書是否過期 如果公司業務體量較大的話,肯定不止一個功能變數名稱,而一個功能變數名稱後面又會對應著多台機器,如 ...
哈嘍大家好,我是鹹魚
我們知道 SSL 證書是會過期的,一旦過期之後需要重新申請。如果沒有及時更換證書的話,就有可能導致網站出問題,給公司業務帶來一定的影響
所以說我們要每隔一定時間去檢查網站上的 SSL 證書是否過期
如果公司業務體量較大的話,肯定不止一個功能變數名稱,而一個功能變數名稱後面又會對應著多台機器,如果我們手動輸入命令一臺台檢測的話,所需要的精力和時間是很大的
那麼今天鹹魚跟大家介紹一個自己平常在用的自動檢測 SSL 是否過期的 shell 腳本
思路
前面我們說到,一個公司(一個業務)底下可能會有多個功能變數名稱多個 IP 地址,所以說我們需要整理出來放到一個文件裡面,如下所示
#domain.txt
#功能變數名稱:ip 池
www.baidu.com:180.101.50.242,180.101.50.188
www.bing.com:202.89.233.101,202.89.233.100
整理出來之後,後面只需要迴圈遍歷 domain.txt 中的每一行內容,然後把功能變數名稱和 ip 地址分別提取出來一個一個去檢測就行了
首先我們對 domain.txt 中的內容進行迴圈遍歷,提取出功能變數名稱和 ip 池
for line in $(cat domain.txt)
do
domain=$(echo ${line} | awk -F':' '{print $1}')
ip_pool=$(echo ${line} | awk -F '[a-z]:' '{print $2}' | sed 's/\,/ /g')
...
done
然後再遍歷 ip 池,取出每一個 ip 地址,然後執行檢測命令,把檢測到的結果存進 text 變數里
for line in $(cat domain.txt)
do
domain=$(echo ${line} | awk -F':' '{print $1}')
ip_pool=$(echo ${line} | awk -F '[a-z]:' '{print $2}' | sed 's/\,/ /g')
# 遍歷 ip 池
for ip in ${ip_pool}
do
echo -e "\e[33m---------------start to check---------------\e[0m"
echo -e "ip:${ip}\ndomain:${domain}"
# 檢測命令
text=$(echo | openssl s_client -servername ${domain} -connect ${ip}:443 2>/dev/null | openssl x509 -noout -dates -subject)
done
done
我們著重看下檢測命令
echo | openssl s_client -servername ${domain} -connect ${ip}:443 2>/dev/null | openssl x509 -noout -dates -subject
echo: 這個命令用於向標準輸出列印一個空行openssl s_client -servername www.baidu.com -connect 180.101.50.242:443: 這部分命令使用openssl工具來建立一個與指定網站的 SSL 連接。-servername選項指定了要連接的伺服器的主機名-connect選項指定了伺服器的 IP 地址和埠號)2>/dev/null: 這部分是重定向,將標準錯誤輸出重定向到/dev/null設備文件,這樣連接伺服器的時候如果報錯錯誤信息就不會顯示在終端上openssl x509 -noout -dates: 這部分命令用於提取 SSL 證書的有效期和主題信息。openssl x509是用於處理 X.509 證書的命令,-noout選項表示不列印證書本身,而是列印其他信息,-dates選項表示列印證書的有效期
輸出信息如下(即 text 變數內容)
# echo | openssl s_client -servername www.baidu.com -connect 180.101.50.242:443 2>/dev/null | openssl x509 -noout -dates
notBefore=Jul 6 01:51:06 2023 GMT
notAfter=Aug 6 01:51:05 2024 GMT
其中 notBefore 是開始時間,notAfter 是過期時間
需要註意的是,如果提取不到 SSL 證書的信息,那麼 text 裡面是沒有內容的,所以在檢測過期時間之前我們需要判斷一下
if [[ ${text} ]] # text 裡面有內容,不為空
then
do something
fi
然後我們提取出輸出的 SSL 證書信息中 notAfter 的值,然後轉換成時間戳的形式,並且求出當前的時間戳
end_date=$(echo "$text" | grep -i "notAfter" | awk -F '=' '{print $2}') # 證書過期時間
end_timestamp=$(date -d "$end_date" +%s) # 轉換成時間戳
current_timestamp=$(date +%s) # 當前時間戳
最後我們用過期時間減去當前時間,得出剩餘時間,再對剩餘時間做判斷
remain_date=$(( (${end_timestamp} - ${current_timestamp}) / 86400 ))
if [[ ${remain_date} -lt 7 && ${remain_date} -ge 0 ]]
then
echo -e "\e[31m剩餘時間小於七天!請及時更換證書!\e[0m"
echo -e "\e[31mip: ${ip}, ${domain}\e[0m"
elif [[ ${remain_date} -lt 0 ]]
then
echo -e "\e[31m證書已過期!請及時更換證書!\e[0m"
else
echo -e "\e[32m剩餘天數為:${remain_date}\e[0m"
fi
我們來看下執行結果:
-
證書未過期情況
-
證書快過期
-
證書已過期
完整腳本
for line in $(cat domain.txt)
do
domain=$(echo ${line} | awk -F':' '{print $1}')
ip_pool=$(echo ${line} | awk -F '[a-z]:' '{print $2}' | sed 's/\,/ /g')
for ip in ${ip_pool}
do
echo -e "\e[33m---------------start to check---------------\e[0m"
echo -e "ip:${ip}\ndomain:${domain}"
text=$(echo | openssl s_client -servername ${domain} -connect ${ip}:443 2>/dev/null | openssl x509 -noout -dates )
# 判斷命令是否執行成功,執行成功的話 text 變數裡面是有內容的
if [[ ${text} ]]
then
end_date=$(echo "$text" | grep -i "notAfter" | awk -F '=' '{print $2}') # 證書過期時間
end_timestamp=$(date -d "$end_date" +%s) # 轉換成時間戳
current_timestamp=$(date +%s) # 當前時間戳
# 如果證書過期時間減去當前時間的天數小於七天的話,則提示需要準備更換證書了
remain_date=$(( (${end_timestamp} - ${current_timestamp}) / 86400 ))
if [[ ${remain_date} -lt 7 && ${remain_date} -ge 0 ]]
then
echo -e "\e[31m剩餘時間小於七天!請及時更換證書!\e[0m"
echo -e "\e[31mip: ${ip}, ${domain}\e[0m"
elif [[ ${remain_date} -lt 0 ]]
then
echo -e "\e[31m證書已過期!請及時更換證書!\e[0m"
else
echo -e "\e[32m剩餘天數為:${remain_date}\e[0m"
fi
else
echo -e "\e[31mError!${ip}\e[0m"
echo -e "\e[31m${domain}\e[0m"
fi
done
done
