什么是 OpenSSL s_client?
openssl s_client 是 OpenSSL 套件中的一个命令行工具,用于建立 SSL/TLS 客户端连接,常用于:
- 测试服务器是否支持特定 TLS 协议版本(如 TLS 1.2、TLS 1.3)
- 查看远程服务器返回的证书链
- 验证 SNI(Server Name Indication)配置
- 调试 HTTPS、SMTPS、IMAPS 等加密服务
提示:它相当于一个“原始”的 HTTPS 客户端,非常适合排查证书错误、协议不兼容等问题。
基本用法示例
最简单的连接方式(默认端口 443):
openssl s_client -connect example.com:443指定主机名(启用 SNI):
openssl s_client -connect example.com:443 -servername example.com仅显示证书信息(不交互):
echo | openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -text常用参数说明
-connect host:port:指定目标主机和端口-servername name:设置 SNI 扩展(对虚拟主机至关重要)-showcerts:显示完整的证书链-tls1_2/-tls1_3:强制使用特定 TLS 版本-cipher cipherlist:指定加密套件列表-CAfile file:指定信任的 CA 证书文件
实战场景
1. 检查网站是否支持 TLS 1.3
openssl s_client -connect google.com:443 -tls1_32. 查看证书过期时间
echo | openssl s_client -connect github.com:443 2>/dev/null | openssl x509 -noout -dates3. 测试自定义端口(如 SMTP over SSL)
openssl s_client -connect mail.example.com:465注意事项
- 某些服务器在未发送 HTTP 请求时会断开连接,可配合
echo -e "GET / HTTP/1.0\r\n\r\n"使用。 - 输出内容包含大量调试信息,重点关注
Certificate chain和Verify return code。 - 在脚本中使用时,建议重定向错误输出(
2>/dev/null)以避免干扰。