我們知道 SSL 證書是會過期的,一旦過期之后需要重新申請。如果沒有及時更換證書的話,就有可能導致網站出問題,給公司業務帶來一定的影響
所以說我們要每隔一定時間去檢查網站上的 SSL 證書是否過期
如果公司業務體量較大的話,肯定不止一個域名,而一個域名后面又會對應著多臺機器,如果我們手動輸入命令一臺臺檢測的話,所需要的精力和時間是很大的
那么今天咸魚跟大家介紹一個自己平常在用的自動檢測 SSL 過期時間的 shell 腳本
完整代碼在文末
前面我們說到,一個公司(一個業務)底下可能會有多個域名多個 IP 地址,所以說我們需要整理出來放到一個文件里面,如下所示
整理出來之后,后面只需要循環遍歷 domAIn.txt 中的每一行內容,然后把域名和 ip 地址分別提取出來一個一個去檢測就行了
首先我們對 domain.txt 中的內容進行循環遍歷,提取出域名和 ip 池
然后再遍歷 ip 池,取出每一個 ip 地址,然后執行檢測命令,把檢測到的結果存進 text 變量里
我們著重看下檢測命令
輸出信息如下(即 text 變量內容)
其中 notBefore 是開始時間,notAfter 是過期時間
需要注意的是,如果提取不到 SSL 證書的信息,那么 text 里面是沒有內容的,所以在檢測過期時間之前我們需要判斷一下
然后我們提取出輸出的 SSL 證書信息中 notAfter 的值,然后轉換成時間戳的形式,并且求出當前的時間戳
最后我們用過期時間減去當前時間,得出剩余時間,再對剩余時間做判斷
我們來看下執行結果:
-
證書未過期
-
證書快過期
-
證書已過期
for line in $(cat domain.txt)dodomain=$(echo ${line} | awk -F':' '{print $1}')ip_pool=$(echo ${line} | awk -F '[a-z]:' '{print $2}' | sed 's/,/ /g')for ip in ${ip_pool}doecho -e "e[33m---------------start to check---------------e[0m"echo -e "ip:${ip}ndomain:${domain}"text=$(echo | openssl s_client -servername ${domain} -connect ${ip}:443 2>/dev/null | openssl x509 -noout -dates )# 判斷命令是否執行成功,執行成功的話 text 變量里面是有內容的if [[ ${text} ]]thenend_date=$(echo "$text" | grep -i "notAfter" | awk -F '=' '{print $2}') # 證書過期時間end_timestamp=$(date -d "$end_date" +%s) # 轉換成時間戳current_timestamp=$(date +%s) # 當前時間戳# 如果證書過期時間減去當前時間的天數小于七天的話,則提示需要準備更換證書了remain_date=$(( (${end_timestamp} - ${current_timestamp}) / 86400 ))if [[ ${remain_date} -lt 7 && ${remain_date} -ge 0 ]]thenecho -e "e[31m剩余時間小于七天!請及時更換證書!e[0m"echo -e "e[31mip: ${ip}, ${domain}e[0m"elif [[ ${remain_date} -lt 0 ]]thenecho -e "e[31m證書已過期!請及時更換證書!e[0m"elseecho -e "e[32m剩余天數為:${remain_date}e[0m"fielseecho -e "e[31mError!${ip}e[0m"echo -e "e[31m${domain}e[0m"fidonedone
