SSL证书是网站安全的"身份证"，但就像食品有保质期一样，SSL证书也有有效期。过期证书会导致浏览器警告，严重影响用户体验和SEO排名。作为网络安全从业者，我经常遇到因为证书过期导致的"翻车"现场。今天就用最通俗的语言，分享3种实用的脚本方法帮你自动检查SSL证书有效期。

一、为什么需要检查SSL证书有效期？

去年某电商大促当天，技术团队突然发现支付页面无法访问——原因是凌晨过期的SSL证书没有及时更新。用户看到红色警告页面直接流失，损失高达数百万。

类似案例比比皆是：

- 某银行APP因证书过期导致2小时无法登录

- ***网站HTTPS变成"不安全"标识

- 企业邮箱被标记为风险链接

手动检查费时费力，特别是管理几十上百个域名时。自动化脚本就是你的"证书保质期检测仪"。

二、OpenSSL命令行检查法（基础版）

```bash

!/bin/bash

domain="example.com"

end_date=$(openssl s_client -connect $domain:443 -servername $domain 2>/dev/null | openssl x509 -noout -enddate | cut -d= -f2)

echo "域名 $domain 的SSL证书将于 $end_date 过期"

```

执行效果：

域名 example.com 的SSL证书将于 Dec 31 23:59:59 2025 GMT 过期

原理拆解：

1. `openssl s_client`建立HTTPS连接

2. `x509 -noout -enddate`提取到期日

3. `cut`命令截取日期部分

适用场景：

- Linux服务器快速单次检查

- CI/CD流水线中的前置检查

三、Python自动化脚本（进阶版）

```python

import ssl

import socket

from datetime import datetime

def check_ssl_expiry(domain):

context = ssl.create_default_context()

with socket.create_connection((domain, 443)) as sock:

with context.wrap_socket(sock, server_hostname=domain) as ssock:

cert = ssock.getpeercert()

expire_date = datetime.strptime(cert['notAfter'], '%b %d %H:%M:%S %Y %Z')

remaining_days = (expire_date - datetime.now()).days

print(f"[{domain}]")

print(f"到期时间: {expire_date}")

print(f"剩余天数: {remaining_days}天")

return remaining_days

批量检查示例

domains = ["baidu.com", "qq.com", "alipay.com"]

for domain in domains:

check_ssl_expiry(domain)

输出示例：

[baidu.com]

到期时间: 2025-06-30 05:31:02

剩余天数: 89天

[qq.com]

到期时间: 2025-03-28 23:59:59

剩余天数: 440天

优势分析：

1. 精确到天的倒计时：直观显示剩余有效期

2. 批量处理能力：支持域名列表循环检查

3. 跨平台运行：Windows/Linux/macOS通用

四、Bash监控脚本（生产级）

WARNING_DAYS=30

提前30天告警

DOMAINS=("www.example.com" "api.example.com")

for domain in "${DOMAINS[@]}"; do

expiry_date=$(openssl s_client -connect $domain:443 -servername $domain 2>/dev/null | openssl x509 -noout -dates | grep 'notAfter' | cut -d= -f2)

expiry_epoch=$(date -d "$expiry_date" +%s)

current_epoch=$(date +%s)

days_left=$(( (expiry_epoch - current_epoch) /86400 ))

if [ $days_left -le $WARNING_DAYS ]; then

echo "[紧急] ${domain} SSL证书将在${days_left}天后过期!"

这里可以添加邮件/钉钉告警逻辑

else

echo "[正常] ${domain} SSL证书有效期剩余${days_left}天"

fi

done > /var/log/ssl_monitor.log

日志记录

crontab每天自动执行示例：

0 0 * * * /path/to/ssl_check.sh >> /var/log/ssl_monitor.log

企业级功能扩展：

1. 阈值告警：提前N天触发通知机制（邮件/短信/钉钉）

2. 集中日志：所有检测结果归档记录

3. 定时任务：通过crontab实现每日自动巡检

五、常见问题解决方案

Q1：内网域名如何检测？

```python

Python脚本增加跳过验证参数：

context = ssl._create_unverified_context()

Q2：遇到多级子域名怎么办？

```bash

Bash中使用通配符检测所有子域：

for sub in {"www","api","cdn","static"}; do

check_ssl_expiry "${sub}.example.com"

done

Q3：如何对接监控系统？

推荐Prometheus监控方案：

from prometheus_client import Gauge, push_to_gateway

cert_expiry_gauge = Gauge('ssl_expiry_days', 'Days until SSL expiry', ['domain'])

cert_expiry_gauge.labels(domain=domain).set(remaining_days)

push_to_gateway('prometheus.pushgateway:9091', job='ssl_monitor')

六、最佳实践建议

1. 更新策略：

? CA机构通常允许提前90天续期

?避免最后一天才操作（DNS解析可能有延迟）

2. 监控频率：

? VIP业务域名 → 每天检查

?普通业务域名 → 每周检查

?测试环境域名 → 每月检查

3. 应急方案：

```mermaid

graph LR

A[发现即将过期] --> B{是否在维护窗口?}

B -->|是| C[立即更新]

B -->|否| D[临时启用备用证书]

D --> E[维护窗口期更新主证]

```

建议将本文提供的脚本与企业现有的运维系统整合，打造完整的数字证书生命周期管理体系。毕竟在网络安全领域，"预防性维护"永远比"应急救火"更高效。

如果你有更多个性化需求（如K8S集群中的证书管理），欢迎在评论区留言讨论具体场景！

TAG:判断ssl证书有效日期脚本,如何查看ssl证书是否生效,检测ssl证书,ssl证书过期怎么解决,查看ssl证书有效期