SSL-Zertifikate haben begrenzte Gültigkeitszeiträume und müssen regelmäßig erneuert werden, um von Browsern als vertrauenswürdig eingestuft zu bleiben. Öffentliche Zertifikate, die nach dem 15. März 2026 ausgestellt werden, sind auf 200 Tage begrenzt, wobei die maximale Gültigkeit am 15. März 2027 auf 100 Tage und am 15. März 2029 auf 47 Tage sinkt. Wenn Sie genau wissen, wann ein Zertifikat abläuft, können Sie es rechtzeitig erneuern und Ausfälle vermeiden.
Diese Anleitung zeigt Ihnen, wie Sie das Ablaufdatum eines Zertifikats mit OpenSSL prüfen: für einen Live-Server, für eine lokale Datei und wie Sie prüfen, ob ein Zertifikat bald abläuft.
Schnelle Antwort:
Für eine Live-Website führen Sie aus:
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate.
Für eine Zertifikatsdatei führen Sie aus:
openssl x509 -in your_certificate.pem -noout -enddate.
Der Wert notAfter ist das Ablaufdatum.
Methode 1: Zertifikat auf einem Live-Server prüfen
Diese Methode stellt eine Verbindung zu einer laufenden Website her und liest das dort bereitgestellte Zertifikat – Sie benötigen die Zertifikatsdatei nicht. Sie funktioniert für jeden erreichbaren Host (eine Remote-Domain oder localhost mit dem richtigen Port für einen lokalen Server).
Unter Linux und macOS
echo | openssl s_client -servername yourdomain.com -connect yourdomain.com:443 2>/dev/null | openssl x509 -noout -enddate
Ersetzen Sie yourdomain.com durch Ihre tatsächliche Domain. Die Befehle sind unter macOS identisch, da macOS Unix-ähnlich ist (das integrierte openssl ist LibreSSL, das diese Optionen unterstützt).
Unter Windows
- Öffnen Sie die Eingabeaufforderung oder PowerShell (drücken Sie Win + R, geben Sie cmd oder powershell ein und drücken Sie Enter).
- Führen Sie aus:
echo | openssl s_client -servername yourdomain.com -connect yourdomain.com:443 2>nul | openssl x509 -noout -enddate
Verwenden Sie unter Windows 2>nul anstelle von 2>/dev/null, um Fehlermeldungen zu unterdrücken.
Methode 2: Zertifikat aus einer PEM-Datei prüfen
Eine PEM-Datei ist ein base64-kodiertes Zertifikat, das mit —–BEGIN CERTIFICATE—– beginnt und mit —–END CERTIFICATE—– endet. Verwenden Sie diese Methode, wenn Sie die Zertifikatsdatei auf dem Datenträger haben.
Unter Linux und macOS
Wechseln Sie in den Ordner, der Ihr Zertifikat enthält, und lesen Sie dann das Ablaufdatum aus (ersetzen Sie your_certificate.pem durch Ihren Dateinamen):
cd /path/to/your/certificate/directory
openssl x509 -in your_certificate.pem -noout -enddate
Unter Windows
cd C:pathtoyourcertificatedirectory
openssl x509 -in your_certificate.pem -noout -enddate
Stellen Sie sicher, dass OpenSSL installiert und in Ihrem PATH eingetragen ist; andernfalls geben Sie den vollständigen Pfad zur openssl.exe-Binärdatei an.
Beide Daten anzeigen oder prüfen, ob ein Zertifikat bald abläuft
Um sowohl das Ausstellungsdatum (notBefore) als auch das Ablaufdatum (notAfter) anzuzeigen, verwenden Sie -dates anstelle von -enddate:
openssl x509 -in your_certificate.pem -noout -dates
Um zu prüfen, ob ein Zertifikat innerhalb eines bestimmten Zeitraums abläuft, verwenden Sie -checkend mit einer Anzahl von Sekunden (hier: 2592000 Sekunden = 30 Tage):
openssl x509 -in your_certificate.pem -noout -checkend 2592000
Es gibt Certificate will not expire aus (und beendet sich mit Status 0) oder Certificate will expire (Status 1) – was es ideal für Monitoring-Skripte und Cron-Jobs macht.
Den Befehl und die Ausgabe verstehen
Nehmen Sie den Live-Server-Befehl und seine Ausgabe als Beispiel:
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -enddate
Ausgabe:
notAfter=Sep 15 23:59:59 2026 GMT
Hier ist, was jeder Teil bewirkt:
- echo | – sendet eine leere Eingabe, damit der Befehl beendet wird, ohne auf eine Interaktion zu warten.
- openssl s_client – öffnet eine SSL/TLS-Verbindung zum Server.
- -servername example.com – setzt die Server Name Indication (SNI), die erforderlich ist, wenn ein Server mehrere Zertifikate für verschiedene Domains hostet.
- -connect example.com:443 – der Host und Port, zu dem eine Verbindung hergestellt wird (Port 443 ist der Standard-HTTPS-Port).
- 2>/dev/null (Linux/macOS) oder 2>nul (Windows) – unterdrückt Fehlermeldungen, sodass nur die relevante Ausgabe angezeigt wird.
- | openssl x509 -noout -enddate – leitet das Zertifikat an das x509-Tool weiter; -noout unterdrückt die PEM-Ausgabe und -enddate gibt nur das Ablaufdatum aus.
- notAfter=… – das Datum und die Uhrzeit, zu der das Zertifikat seine Gültigkeit verliert.
Automatisieren: Ablaufdaten nicht mehr manuell verfolgen
Anstatt Ablaufdaten manuell zu prüfen – insbesondere da die Gültigkeitszeiträume auf 47 Tage sinken – können Sie ACME als Certificate-as-a-Service (CaaS) nutzen. Es übernimmt die Domain-Validierung, installiert Zertifikate und erneuert sie automatisch vor dem Ablauf, sodass Ihre Website ohne manuellen Eingriff vertrauenswürdig bleibt.
Fazit
OpenSSL prüft das Ablaufdatum eines Zertifikats in einer Zeile – von einem Live-Server mit s_client oder aus einer Datei mit x509 -enddate, während -dates und -checkend das Ausstellungsdatum und eine Prüfung auf baldigen Ablauf hinzufügen. Das Feld notAfter zeigt Ihnen genau, wann Sie erneuern müssen, damit Sie Dienstunterbrechungen vermeiden können. Wenn Sie bereit sind zu erneuern, stöbern Sie in unseren SSL-Zertifikaten.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

