Chinaunix首页 | 论坛 | 博客

tjpmtjpm.blog.chinaunix.net

首页 |  博文目录 |  关于我

tjpm

  • 博客访问: 959281
  • 博文数量: 99
  • 博客积分: 3306
  • 博客等级: 中校
  • 技术积分: 1238
  • 用 户 组: 普通用户
  • 注册时间: 2009-04-21 10:14
文章分类

全部博文(99)

文章存档

2012年(37)

2011年(56)

2010年(6)

我的朋友
最近访客
推荐博文
相关博文
ssl证书有效性检测

分类: Python/Ruby

2012-09-18 23:53:11

因为公司的业务原因,所以基本上全站都是使用https。然后又因为各种各样的问题造成有的域名不能使用通配符证书,只能使用单独的证书,这样就造成了网络配置上同一个应用要配置多个公网IP以便绑定不同的证书(很多浏览器不支持SNI,所以只能配置多个IP了)。今天简单写了一个脚本,测试了一下可以把某个机房全站应用的公网IP对于的证书都检查一遍。

脚本如下:


  1. #!/usr/bin/env perl
  2. #===============================================================================
  3. #
  4. # FILE: comcheck.pl
  5. #
  6. # USAGE: perl comcheck.pl host_list
  7. #
  8. # DESCRIPTION: test ssl cert
  9. #
  10. # OPTIONS: ---
  11. # REQUIREMENTS: ---
  12. # BUGS: ---
  13. # NOTES: ---
  14. # AUTHOR: @GNUer

  16. # VERSION: 1.0
  17. # CREATED: 2012年09月18日 09时48分21秒
  18. # REVISION: ---
  19. #===============================================================================

  21. use strict;
  22. use warnings;
  23. use utf8;
  24. use IO::Socket::SSL;
  25. my %vips;
  26. if ( !-f $ARGV[0] ) {
  27.     &help;
  28. }
  29. open my $HOSTS, "<$ARGV[0]" or die "open $ARGV[0]\n";
  30. while ( my $line = <$HOSTS> ) {
  31.     if ( $line =~ /\s*([\d\.]+)\s+(.*)\s*#/ ) {
  32.         my $tdms = $2;
  33.         my $ip = $1;
  34.         my @dms = split( /\s+/, $tdms );
  35.         foreach (@dms) {
  36.             $vips{$_} = $ip;
  37.         }
  38.     }
  39. }
  40. close $HOSTS;

  42. foreach my $name ( sort keys %vips ) {
  43.     my $ip = $vips{$name};
  44.     &check_cert_com( $ip, $name );
  45. }

  47. sub check_cert_com() {
  48.     my $vip = shift;
  49.     my $hostname = shift;
  50.     chomp $hostname;
  51.     chomp $vip;
  52.     my $sock = IO::Socket::SSL->new(
  53.         PeerAddr => $vip,
  54.         PeerPort => '443',
  55.         Proto => 'tcp',
  56.         SSL_verify_mode => 0x00, #does no authentication.
  57.         Timeout => 3,

  59.    #You may combine 0x01 (verify peer),
  60.    # 0x02 (fail verification if no peer certificate exists; ignored for clients)
  61.    # 0x04 (verify client once) to change the default.
  62.         SSL_hostname => $hostname, # specifiy the hostname used for SNI
  63.         SSL_verifycn_name => $hostname, #Set the name which is used in verification of hostname
  64.         SSL_ca_path => "/etc/ssl/certs/",

  66.     );

  68.     if ( !( ref $sock eq "IO::Socket::SSL" ) ) {
  69.         print "connect $hostname failed\n";
  70.         return 1;
  71.     }
  72.     if ( $sock->verify_hostname( $hostname, 'http' ) ) {
  73.         print "$hostname verification ok\n";
  74.         return 0;
  75.     }
  76.     else {
  77.         print STDERR "$hostname verify failed\n";
  78.     }
  79.     my $comname = $sock->peer_certificate("commonName");
  80.     my $tname = $hostname;
  81.     my $tcom = $comname;
  82.     $tname =~ s/\.xxx.com//g;
  83.     $tcom =~ s/\.xxx.com//g;
  84.     if ( $tcom eq "*" && $tname !~ /\./ ) {
  85.         ;
  86.         print "$hostname $comname\n";
  87.     }
  88.     elsif ( $tname eq $tcom ) {
  89.         ;
  90.         # print "$hostname eq $comname\n";
  91.     }
  92.     else {

  94.         print STDERR "$vip \e[1;32m$hostname\e[m error cert:\e[1;31m $comname\e[m\n";
  95.     }
  96.     $sock->close();

  98. }

  100. sub help() {
  101.     print "perl comcheck.pl hostlist\n";
  102.     exit 0;
  103. }

输入文件的格式如下:

12.75.123.70 app1.xxx.com #appxxx
12.75.123.20 app2.xxx.com #appxxx
12.75.123.76 app3.xxx.com #appxxx
12.75.123.42 app41.xxx.com app42.xxx.com air.xxx.com #appxxx
12.75.123.43 app5xxx.com #appxxx

如果只看错误的话可以

perl certcheck.pl host >/dev/null

阅读(10268) | 评论(0) | 转发(1) |
0

上一篇:windows writer test

下一篇:shell版本的12306等待

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6