使用 openssl 檢測本地生成的證書
1. 查看證書詳情 (最常用)
如果你想確認證書的有效期、發行者 (Issuer)、持有者 (Subject) 以及 SAN (備用名稱):
openssl x509 -in certificate.crt -text -noout
-in: 指定證書檔案路徑。-text: 以易讀的文字格式輸出內容。-noout: 不輸出編碼後的原始證書內容。
2. 僅檢查過期時間
如果你只想快速確認證書是否過期:
openssl x509 -in certificate.crt -noout -dates
這會顯示
notBefore(生效日)與 notAfter(到期日)。3. 驗證私鑰 (Key) 與證書 (CRT) 是否配對
在配置 Supernode 時,若不確定手邊的私鑰和證書是否為一組,可以比對它們的 Modulus (模數) Hash:
# 檢查證書的 MD5
openssl x509 -noout -modulus -in certificate.crt | openssl md5
# 檢查私鑰的 MD5
openssl rsa -noout -modulus -in private.key | openssl md5
如果兩個輸出結果完全相同,則表示兩者配對正確。
4. 檢查證書檔案格式 (PEM vs DER)
- PEM 格式 (通常以
-----BEGIN CERTIFICATE-----開頭):
使用上述的openssl x509 -in ...即可。 - DER 格式 (二進位格式,常見於
.cer或.der):
需加上-inform der參數:openssl x509 -in certificate.der -inform der -text -noout
5. 模擬伺服器連線測試
如果你已經啟動了 Supernode 服務並掛載了證書,可以直接從外部(或本機)檢測服務埠口輸出的證書:
openssl s_client -connect localhost:443 -showcerts
(將
localhost:443 替換為你 Supernode 實際監聽的 IP 與 Port)補充建議:
如果您在檢測時發現證書報錯(例如
如果您在檢測時發現證書報錯(例如
unable to load certificate),通常是因為檔案編碼不對或權限不足。
共有 0 条评论