在网络安全领域，HTTPS证书的有效期管理是运维和开发人员经常忽视的“定时炸弹”。一个过期的证书可能导致网站无法访问、用户数据泄露，甚至被浏览器标记为“不安全”，直接影响业务和品牌信誉。今天我们就用脚本自动化检查这个“防爆工具”，手把手教你如何提前排雷。

一、为什么要用脚本检查证书有效期？

想象一下：你负责的电商网站在“双11”凌晨突然打不开，原因是证书过期。此时老板的电话比客服还忙……

手动检查证书？不现实！比如：

- 大型企业可能有上百个域名，人工检查效率极低；

- 多云环境下证书分散在不同平台（阿里云/AWS/自建）；

- 突发续期失败（如Let's Encrypt的ACME协议调用异常）。

而脚本可以：

1. 批量扫描所有域名

2. 自动预警（比如有效期＜30天触发邮件）

3. 生成可视化报告（适合向上汇报）

二、3种实战脚本方法（附代码）

? 方法1：OpenSSL命令 + Shell脚本（Linux/Mac通用）

```bash

!/bin/bash

domain="example.com"

end_date=$(echo | openssl s_client -servername $domain -connect $domain:443 2>/dev/null | openssl x509 -noout -enddate | cut -d= -f2)

expire_seconds=$(date -d "$end_date" +%s)

current_seconds=$(date +%s)

days_left=$(( (expire_seconds - current_seconds) / 86400 ))

echo "证书剩余有效期: $days_left 天"

```

原理拆解：

- `openssl s_client`模拟浏览器握手获取证书

- `x509 -noout -enddate`提取到期时间

- `date`命令计算剩余天数

? 方法2：Python脚本（适合跨平台）

```python

import ssl, socket, datetime

def check_cert(domain):

ctx = ssl.create_default_context()

with ctx.wrap_socket(socket.socket(), server_hostname=domain) as s:

s.connect((domain, 443))

cert = s.getpeercert()

expire_date = datetime.datetime.strptime(cert['notAfter'], '%b %d %H:%M:%S %Y %Z')

return (expire_date - datetime.datetime.now()).days

print(f"谷歌证书剩余天数: {check_cert('google.com')}")

优势：

- 原生支持Windows/Linux

- 可扩展成多线程扫描（加速百域名检测）

? 方法3：PowerShell（Windows管理员专属）

```powershell

$domain = "microsoft.com"

$cert = [System.Net.ServicePointManager]::GetCertificate($url)

$expiryDate = $cert.GetExpirationDateString()

$timeLeft = New-TimeSpan -Start (Get-Date) -End $expiryDate

Write-Host "距离过期还有 $($timeLeft.Days) 天"

三、进阶技巧：让脚本更“智能”

单纯检测还不够，企业级场景需要：

1. 异常处理机制

```python

try:

days_left = check_cert("example.com")

except ssl.SSLError:

print("?证书验证失败（可能自签名或过期）")

except socket.timeout:

print("?? 连接超时")

```

2. 与监控系统联动

```bash

Zabbix自动发现示例

if [ $days_left -lt 7 ]; then

zabbix_sender -z监控服务器IP -k "cert.expiry" -v "$domain:CRITICAL"

fi

3. 历史趋势分析

用ElasticSearch存储每日检测结果，生成这样的报表：


四、真实踩坑案例分享

某金融客户曾因忽略泛域名证书的次级域名覆盖范围，导致新上线的API接口使用未包含在`*.bank.com`中的`api.bank.com`，引发大规模服务中断。后来他们用如下脚本解决了问题：

检查SAN(Subject Alternative Name)字段是否包含所有子域

openssl x509 -in cert.pem -noout -text | grep "DNS:"

五、工具推荐清单

|工具|适用场景|特点|

||||

|[Certbot](https://certbot.eff.org/)|Let's Encrypt证书管理|自动续期+钉钉通知|

|[ssl-checker](https://github.com/esnet/ssl-checker)|内网资产扫描|支持跳过无效SSL|

|[Nagios SSL Plugin](https://github.com/HariSekhon/nagios-plugins)|监控集成|Zabbix/Prometheus兼容|

定期运行这些脚本的成本，远低于一次证书过期事故带来的损失。现在就用`crontab`或Windows任务计划把它们加入你的巡检流程吧！如果你有更酷的实现方式，欢迎在评论区分享~

TAG:脚本查看https证书有效期,脚本查看https证书有效期怎么查,查看脚本是否执行,查询脚本