使用代理的openssl s

77

openssl s_client -connect some.https.server:443 -showcerts

当您要检查服务器的证书及其证书链时，这是一个很好的命令。

当您位于HTTP / HTTPS代理后面时，是否可以运行此命令？

openssl

— pushNpop
source

18

官方没有。

但这是一个补丁：http : //rt.openssl.org/Ticket/Display.html? id= 2651& user= guest& pass= guest

— 线粒体
source

4

实际上，截至2015年5月22日，该补丁实际上已实施。我也看到了

— David Hergert，2015年

55

您可以使用proxytunnel：

proxytunnel -p yourproxy:8080 -d www.google.com:443 -a 7000

然后您可以执行以下操作：

openssl s_client -connect localhost:7000 -showcerts

希望这可以帮到你！

— 弗朗切斯科·卡鲁奇（Francesco Carlucci）
source

我必须proxytunnel -p yourproxy:8080 -d www.google.com:443 -a 7000在后台运行以释放终端的第二个命令。

— 迈克尔7年

3

proxytunnel支持（确实）openssl s_client -proxy不支持的代理身份验证，至少在1.1.0h内不支持。

— 罗杰·利普斯科姆

27

对于2015年5月之后来到这里的用户：openssl的下一版本中将包含一个新的“ -proxy”选项：https ://rt.openssl.org/Ticket/Display.html?id=2651&user = guest＆pass = guest

— 埃里希·艾辛格
source

5

我刚刚在2016年3月1日（Windows）上尝试过OpenSSL 1.0.2g，它对代理选项一无所知。为什么？

— ChristianSchäfer'16

3

是否可以将openssl软件包更新为操作系统未捆绑的版本？

— 克里希特，2016年

4

@ChristianSchäfer这是因为1.0.2xx版不是“下一个发行版”。此选项仅在OpenSSL 1.1.0xx及更高版本中可用。

— zed

1

实际上，请参见手册页openssl.org/docs/man1.1.0/apps/openssl-s_client.html#OPTIONS

— 富兰克林于

25

从openssl v1.1.0开始

C:\openssl>openssl version
OpenSSL 1.1.0g  2 Nov 2017
C:\openssl>openssl s_client -proxy 192.168.103.115:3128 -connect www.google.com -CAfile C:\TEMP\internalCA.crt
CONNECTED(00000088)
depth=2 DC = com, DC = xxxx, CN = xxxx CA interne
verify return:1
depth=1 C = FR, L = CROIX, CN = svproxysg1, emailAddress = xxxx@xxxx.xx
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = www.google.com
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
   i:/C=xxxx/L=xxxx/CN=svproxysg1/emailAddress=xxxx@xxxx.xx
 1 s:/C=xxxx/L=xxxx/CN=svproxysg1/emailAddress=xxxx@xxxx.xx
   i:/DC=com/DC=xxxxx/CN=xxxxx CA interne
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDkTCCAnmgAwIBAgIJAIv4/hQAAAAAMA0GCSqGSIb3DQEBCwUAMFIxCzAJBgNV
BAYTAkZSMQ4wDAYDVQQHEwVDUk9JWDETMBEGA1UEAxMKc3Zwcm94eXNnMTEeMBwG

— 阿诺德·格兰维尔
source

下载了1.1.1源，尝试了这种语法。工作完美。干杯。

— 安迪·布朗

谢谢，我没有注意到该-proxy选项，但是我想知道是否应该代替它，而是考虑代理envvars。

— gonzalesraul

Raul，我在源代码中找不到“ http_proxy”，因此我可以考虑不支持代理环境变量

— Arnaud Grandville，

1

即使使用openssl v1.1.0，在传递代理程序时我仍然遇到一些问题，例如，s_client: HTTP CONNECT failed: 400 Bad Request 这迫使我编写最小的Java类来显示SSL握手

    public static void main(String[] args) throws IOException, URISyntaxException {
    HttpHost proxy = new HttpHost("proxy.my.company", 8080);
    DefaultProxyRoutePlanner routePlanner = new DefaultProxyRoutePlanner(proxy);
    CloseableHttpClient httpclient = HttpClients.custom()
            .setRoutePlanner(routePlanner)
            .build();
    URI uri = new URIBuilder()
            .setScheme("https")
            .setHost("www.myhost.com")
            .build();
    HttpGet httpget = new HttpGet(uri);
    httpclient.execute(httpget);
}

具有以下依赖性：

    <dependency>
        <groupId>org.apache.httpcomponents</groupId>
        <artifactId>httpclient</artifactId>
        <version>4.5.2</version>
        <type>jar</type>
    </dependency>

您可以在启用Java SSL日志记录的情况下运行它

这应该产生不错的输出，例如

trustStore provider is :
init truststore
adding as trusted cert:
  Subject: CN=Equifax Secure Global eBusiness CA-1, O=Equifax Secure Inc., C=US
  Issuer:  CN=Equifax Secure Global eBusiness CA-1, O=Equifax Secure Inc., C=US
  Algorithm: RSA; Serial number: 0xc3517
  Valid from Mon Jun 21 06:00:00 CEST 1999 until Mon Jun 22 06:00:00 CEST 2020

adding as trusted cert:
  Subject: CN=SecureTrust CA, O=SecureTrust Corporation, C=US
  Issuer:  CN=SecureTrust CA, O=SecureTrust Corporation, C=US
(....)

— 磨碎者
source

使用代理的openssl s_client