openssl s_client -connect some.https.server:443 -showcerts
ist ein netter Befehl, der ausgeführt werden soll, wenn Sie die Zertifikate des Servers und seine Zertifikatkette überprüfen möchten.
Gibt es eine Möglichkeit, diesen Befehl auszuführen, wenn Sie sich hinter einem HTTP / HTTPS-Proxy befinden?
Antworten:
Offiziell nicht.
Aber hier ist ein Patch: http://rt.openssl.org/Ticket/Display.html?id=2651&user=guest&pass=guest
Sie können Proxy-Tunnel verwenden :
proxytunnel -p yourproxy:8080 -d www.google.com:443 -a 7000
und dann können Sie dies tun:
openssl s_client -connect localhost:7000 -showcerts
Hoffe das kann dir helfen!
proxytunnel -p yourproxy:8080 -d www.google.com:443 -a 7000im Hintergrund laufen, um das Terminal für den zweiten Befehl freizugeben.
proxytunnelunterstützt die Proxy-Authentifizierung, was (afaict) openssl s_client -proxynicht tut, zumindest nicht in 1.1.0h.
Für alle, die nach Mai 2015 hierher kommen: Es gibt eine neue "-proxy" -Option, die in der nächsten Version von openssl enthalten sein wird: https://rt.openssl.org/Ticket/Display.html?id=2651&user= Gast & Pass = Gast
seit openssl v1.1.0
C:\openssl>openssl version
OpenSSL 1.1.0g 2 Nov 2017
C:\openssl>openssl s_client -proxy 192.168.103.115:3128 -connect www.google.com -CAfile C:\TEMP\internalCA.crt
CONNECTED(00000088)
depth=2 DC = com, DC = xxxx, CN = xxxx CA interne
verify return:1
depth=1 C = FR, L = CROIX, CN = svproxysg1, emailAddress = xxxx@xxxx.xx
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = www.google.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
i:/C=xxxx/L=xxxx/CN=svproxysg1/emailAddress=xxxx@xxxx.xx
1 s:/C=xxxx/L=xxxx/CN=svproxysg1/emailAddress=xxxx@xxxx.xx
i:/DC=com/DC=xxxxx/CN=xxxxx CA interne
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDkTCCAnmgAwIBAgIJAIv4/hQAAAAAMA0GCSqGSIb3DQEBCwUAMFIxCzAJBgNV
BAYTAkZSMQ4wDAYDVQQHEwVDUk9JWDETMBEGA1UEAxMKc3Zwcm94eXNnMTEeMBwG
-proxyOption nicht bemerkt , aber ich frage mich, ob stattdessen Proxy-Envvars in Betracht gezogen werden sollten.
Selbst mit openssl v1.1.0 hatte ich einige Probleme beim Übergeben unseres Proxys, z. B. s_client: HTTP CONNECT failed: 400 Bad Request
zwang mich dies, eine minimale Java-Klasse zu schreiben, um den SSL-Handshake anzuzeigen
public static void main(String[] args) throws IOException, URISyntaxException {
HttpHost proxy = new HttpHost("proxy.my.company", 8080);
DefaultProxyRoutePlanner routePlanner = new DefaultProxyRoutePlanner(proxy);
CloseableHttpClient httpclient = HttpClients.custom()
.setRoutePlanner(routePlanner)
.build();
URI uri = new URIBuilder()
.setScheme("https")
.setHost("www.myhost.com")
.build();
HttpGet httpget = new HttpGet(uri);
httpclient.execute(httpget);
}
Mit folgender Abhängigkeit:
<dependency>
<groupId>org.apache.httpcomponents</groupId>
<artifactId>httpclient</artifactId>
<version>4.5.2</version>
<type>jar</type>
</dependency>
Sie können es mit aktivierter Java SSL-Protokollierung ausführen
Dies sollte eine schöne Ausgabe wie erzeugen
trustStore provider is :
init truststore
adding as trusted cert:
Subject: CN=Equifax Secure Global eBusiness CA-1, O=Equifax Secure Inc., C=US
Issuer: CN=Equifax Secure Global eBusiness CA-1, O=Equifax Secure Inc., C=US
Algorithm: RSA; Serial number: 0xc3517
Valid from Mon Jun 21 06:00:00 CEST 1999 until Mon Jun 22 06:00:00 CEST 2020
adding as trusted cert:
Subject: CN=SecureTrust CA, O=SecureTrust Corporation, C=US
Issuer: CN=SecureTrust CA, O=SecureTrust Corporation, C=US
(....)