如何查看Linux系统SSL证书及验证状态？

OpenSSL是Linux系统中最常用且功能强大的SSL工具之一，在SSL证书的管理与查看中发挥着核心作用。要确认系统是否已安装以及查看其版本信息，可以执行版本检查命令。该系统工具通常预装在多数Linux发行版中，不仅能够查看本地证书文件信息，还可以直接连接远程服务器进行证书获取与验证。

查看本地证书文件与系统证书库

对于存储在服务器上的证书文件，可以通过OpenSSL命令查看其完整详细信息，包括证书版本、序列号、签名算法、颁发者与使用者信息、有效期以及公钥详情。系统层面的证书通常存放在指定目录中，常见的存储位置包括/etc/ssl/certs和/etc/pki/tls/certs。

查看指定证书文件

使用命令 openssl x509 -in /path/to/certificate.crt -text -noout 能够输出证书的所有关键字段。这包括证书的有效期（生效时间和过期时间）、公钥算法与长度、扩展信息（如主题备用名SAN），以及证书的指纹信息。

定位系统证书存储

• 系统证书目录：/etc/ssl/certs（常见于Debian/Ubuntu系统）
• OpenSSL默认证书路径：可通过openssl version -d命令查询
• 更新证书工具：sudo update-ca-certificates --list 可列出系统识别的证书

检查远程服务器SSL证书状态

无需直接访问服务器文件，也能获取远程服务的SSL证书详情。通过OpenSSL的s_client组件可以直接连接到目标服务器并提取证书信息，这对于监控多个域名的证书状态尤为便捷。

检查证书有效期的命令示例：openssl x509 -in signed.crt -noout -dates，该命令会显示证书的生效时间和过期时间。

获取并解析远程证书

使用 openssl s_client -connect hostname:443 -showcerts 可以完整展示服务器返回的证书链。此方法不仅适用于HTTPS服务，也可用于其他基于SSL/TLS协议的服务端口。

证书验证与密钥匹配检查

确保证书与私钥的匹配是SSL配置中的重要环节。通过对比公钥的哈希值，可以验证证书文件和私钥文件是否对应同一密钥对。此操作对于排查SSL配置错误至关重要。

常用验证操作

• 检查公钥与私钥是否匹配
• 验证证书链的完整性
• 确认证书是否由可信机构颁发
• 检查证书是否在有效期内
• 验证证书主题与应用域名是否一致

其他证书查看方法

除了OpenSSL工具，Linux系统还提供了其他查看证书的途径。例如，使用keytool可以连接远程服务器的SSL端口并查看其证书详细信息。浏览器也提供了直观的证书查看界面，通过点击地址栏的锁形图标即可访问。对于Java环境，还可以通过keytool查看特定的证书存储。

多途径验证方法

浏览器查看： 访问站点后点击地址栏锁图标查看证书信息。
keytool工具： 适用于Java环境的证书管理，可查看远程服务器证书和本地证书文件。