使用 openssl 验证证书

既然你已经有了 fullchain.pem（包含证书链）和 privkey.pem（私钥），并希望使用 openssl 本地检查 SSL 是否生效（即是否匹配、有效等），可以用以下方式检查：

---

检查网站

echo | openssl s_client -servername xichangnccq.com -connect xichangnccq.com:443 2>/dev/null | openssl x509 -noout -dates

✅ 一、检查证书与私钥是否匹配

# 查看证书的 Modulus
openssl x509 -noout -modulus -in fullchain.pem | openssl md5

# 查看私钥的 Modulus
openssl rsa -noout -modulus -in privkey.pem | openssl md5

• 如果两个输出的 MD5 值一致，则说明证书和私钥是匹配的。

---

✅ 二、验证证书链是否完整

openssl verify -CAfile fullchain.pem fullchain.pem

• 如果返回：

  fullchain.pem: OK
  

  就说明证书链是完整的，CA 也信任。

---

✅ 三、检查证书内容

openssl x509 -in fullchain.pem -noout -text

• 可以查看：

  • 证书域名（Common Name / Subject Alternative Name）
  • 有效期（Not Before / Not After）
  • 颁发机构（Issuer）
  • 使用用途（如是否支持 TLS）

---

✅ 四、本地模拟 HTTPS 服务测试（可选）

你可以启动一个本地 HTTPS 服务测试证书是否能用：

openssl s_server -cert fullchain.pem -key privkey.pem -accept 8443

然后在另一个终端访问它：

openssl s_client -connect localhost:8443

• 如果能成功握手，说明证书和私钥在真实服务中可用。

---

✅ 五、检查证书是否快过期

openssl x509 -in fullchain.pem -noout -dates

输出示例：

notBefore=May  1 00:00:00 2025 GMT
notAfter=Aug  1 00:00:00 2025 GMT

---

如果你要验证绑定域名，也可以告诉我你预期使用的域名，我可以帮你进一步检查是否和 SAN（Subject Alternative Name） 匹配。是否需要？