如果你只想知道证书是否已经过期(或者将在接下来的N秒内过期)，openssl x509的-checkend <seconds>选项将告诉你:

if openssl x509 -checkend 86400 -noout -in file.pem
then
  echo "Certificate is good for another day!"
else
  echo "Certificate has expired or will do so within 24 hours!"
  echo "(or is invalid/not found)"
fi

这样你就不必自己进行日期/时间比较了。

在上面的例子中，如果证书没有过期，Openssl将返回0(零)的退出码，并且在接下来的86400秒内不会这样做。如果证书已经过期或已经过期——或者出现其他错误，如文件无效/不存在——则返回代码为1。

(当然，它假设时间/日期设置正确)

请注意，旧版本的openssl有一个错误，这意味着如果在checkend中指定的时间太大，将总是返回0 (https://github.com/openssl/openssl/issues/6180)。

命令:

# cat {key_name} | openssl x509 -noout -enddate
Example: # cat tower.cert | openssl x509 -noout -enddate

结果:

notAfter=Dec  7 04:03:32 2023 GMT

对于MAC OSX (El Capitan)，我对Nicholas的例子进行了修改。

for pem in /path/to/certs/*.pem; do
    printf '%s: %s\n' \
        "$(date -jf "%b %e %H:%M:%S %Y %Z" "$(openssl x509 -enddate -noout -in "$pem"|cut -d= -f 2)" +"%Y-%m-%d")" \
    "$pem";
done | sort

样例输出:

2014-12-19: /path/to/certs/MDM_Certificate.pem
2015-11-13: /path/to/certs/MDM_AirWatch_Certificate.pem

macOS不喜欢我系统上的——date=或——iso-8601标志。

一行检查true/false，如果域名证书将在一段时间后过期(例如。15天):

openssl x509 -checkend $(( 24*3600*15 )) -noout -in <(openssl s_client -showcerts -connect my.domain.com:443 </dev/null 2>/dev/null | openssl x509 -outform PEM)
if [ $? -eq 0 ]; then
  echo 'good'
else
  echo 'bad'
fi

如果你只想知道证书是否已经过期(或者将在接下来的N秒内过期)，openssl x509的-checkend <seconds>选项将告诉你:

if openssl x509 -checkend 86400 -noout -in file.pem
then
  echo "Certificate is good for another day!"
else
  echo "Certificate has expired or will do so within 24 hours!"
  echo "(or is invalid/not found)"
fi

这样你就不必自己进行日期/时间比较了。

在上面的例子中，如果证书没有过期，Openssl将返回0(零)的退出码，并且在接下来的86400秒内不会这样做。如果证书已经过期或已经过期——或者出现其他错误，如文件无效/不存在——则返回代码为1。

(当然，它假设时间/日期设置正确)

请注意，旧版本的openssl有一个错误，这意味着如果在checkend中指定的时间太大，将总是返回0 (https://github.com/openssl/openssl/issues/6180)。

与接受的答案相同，但请注意，它甚至适用于。crt文件，而不仅仅是。pem文件，以防万一，如果你无法找到。pem文件的位置。

openssl x509 -enddate -noout -in e71c8ea7fa97ad6c.crt

结果:

notAfter=Mar 29 06:15:00 2020 GMT