プロキシを使用したopenssl s_client

Question

openssl s_client -connect some.https.server:443 -showcerts

サーバーの証明書とその証明書チェーンを検査するときに実行する素敵なコマンドです。

HTTP/HTTPSプロキシの背後にいるときにこのコマンドを実行する方法はありますか？

mtomy · Accepted Answer

公式にはありません。

しかし、ここにパッチがあります http://rt.openssl.org/Ticket/Display.html?id=2651&user=guest&pass=guest

francarl · Answer

proxytunnel を使用できます。

proxytunnel -p yourproxy:8080 -d www.google.com:443 -a 7000

そして、あなたはこれを行うことができます：

openssl s_client -connect localhost:7000 -showcerts

これがあなたの助けになることを願っています！

Erich Eichinger · Answer

2015年5月以降にここに来る人のために：opensslの次のリリースに含まれる新しい「-proxy」オプションがあります： https://rt.openssl.org/Ticket/Display.html？ id = 2651＆user = guest＆pass = guest

Arnaud Grandville · Answer

openssl v1.1.0以降

C:\openssl>openssl version OpenSSL 1.1.0g 2 Nov 2017 C:\openssl>openssl s_client -proxy 192.168.103.115:3128 -connect www.google.com -CAfile C:\TEMP\internalCA.crt CONNECTED(00000088) depth=2 DC = com, DC = xxxx, CN = xxxx CA interne verify return:1 depth=1 C = FR, L = CROIX, CN = svproxysg1, emailAddress = xxxx@xxxx.xx verify return:1 depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = www.google.com verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com i:/C=xxxx/L=xxxx/CN=svproxysg1/emailAddress=xxxx@xxxx.xx 1 s:/C=xxxx/L=xxxx/CN=svproxysg1/emailAddress=xxxx@xxxx.xx i:/DC=com/DC=xxxxx/CN=xxxxx CA interne --- Server certificate -----BEGIN CERTIFICATE----- MIIDkTCCAnmgAwIBAgIJAIv4/hQAAAAAMA0GCSqGSIb3DQEBCwUAMFIxCzAJBgNV BAYTAkZSMQ4wDAYDVQQHEwVDUk9JWDETMBEGA1UEAxMKc3Zwcm94eXNnMTEeMBwG

gratinierer · Answer

Openssl v1.1.0でも、プロキシを渡すのにいくつかの問題がありました。 s_client: HTTP CONNECT failed: 400 Bad Requestそのため、SSLハンドシェイクを表示するために最小限のJavaクラスを書く必要がありました。

 public static void main(String[] args) throws IOException, URISyntaxException { HttpHost proxy = new HttpHost("proxy.my.company", 8080); DefaultProxyRoutePlanner routePlanner = new DefaultProxyRoutePlanner(proxy); CloseableHttpClient httpclient = HttpClients.custom() .setRoutePlanner(routePlanner) .build(); URI uri = new URIBuilder() .setScheme("https") .setHost("www.myhost.com") .build(); HttpGet httpget = new HttpGet(uri); httpclient.execute(httpget); }

次の依存関係：

 <dependency> <groupId>org.Apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> <version>4.5.2</version> <type>jar</type> </dependency>

Java SSLロギングがオンで実行できます

これにより、次のような素敵な出力が生成されます。

trustStore provider is : init truststore adding as trusted cert: Subject: CN=Equifax Secure Global eBusiness CA-1, O=Equifax Secure Inc., C=US Issuer: CN=Equifax Secure Global eBusiness CA-1, O=Equifax Secure Inc., C=US Algorithm: RSA; Serial number: 0xc3517 Valid from Mon Jun 21 06:00:00 CEST 1999 until Mon Jun 22 06:00:00 CEST 2020 adding as trusted cert: Subject: CN=SecureTrust CA, O=SecureTrust Corporation, C=US Issuer: CN=SecureTrust CA, O=SecureTrust Corporation, C=US (....)