Zertifikatsablauf auslesen mit OpenSSL – So prüfst du schnell das Ablaufdatum deines SSL-Zertifikats

Wer Server betreibt oder Webdienste absichert, weiß: Ein abgelaufenes Zertifikat kann schnell zu Ausfällen, Fehlermeldungen und schlaflosen Nächten führen. Damit es gar nicht erst so weit kommt, lohnt sich ein regelmäßiger Blick auf das Ablaufdatum deiner Zertifikate – und das geht ganz einfach mit einem einzigen Befehl:

openssl x509 -in mongodb.pem -noout -enddate

Dieser kleine, aber mächtige OpenSSL-Befehl liest das Ablaufdatum (Expiration Date) eines SSL-Zertifikats aus – in diesem Fall einer Datei namens mongodb.pem.

Was macht der Befehl im Detail?

• openssl x509 Öffnet und verarbeitet ein X.509-Zertifikat (das Standardformat für SSL/TLS-Zertifikate).

• -in mongodb.pem Gibt die Zertifikatsdatei an, die geprüft werden soll. Das kann jede .pem, .crt oder .cer Datei sein.

• -noout Unterdrückt die Standardausgabe des Zertifikatsinhalts – also keine unnötigen Details, nur das, was du wirklich willst.

• -enddate Gibt das Ablaufdatum des Zertifikats aus.

Das Ergebnis sieht dann zum Beispiel so aus:

notAfter=Jun 21 12:00:00 2026 GMT

Das bedeutet: Das Zertifikat ist bis zum 21. Juni 2026, 12:00 Uhr (GMT) gültig.

Praxistipp: Ablaufdatum in menschenfreundlicher Form

Wenn du das Ergebnis direkt weiterverarbeiten möchtest – etwa in einem Skript zur Überwachung oder Benachrichtigung – kannst du das Datum extrahieren oder umwandeln. Zum Beispiel:

openssl x509 -in mongodb.pem -noout -enddate | cut -d= -f2

Oder in Kombination mit einem Shell-Befehl, der die verbleibenden Tage bis zum Ablauf berechnet:

date1=$(openssl x509 -in mongodb.pem -noout -enddate | cut -d= -f2)
echo $(( ($(date -d "$date1" +%s) - $(date +%s)) / 86400 )) "Tage bis zum Ablauf"

So weißt du auf einen Blick, wie viele Tage dein Zertifikat noch gültig ist.

Nützlich für Admins, DevOps & Security-Teams

Ob Webserver, Datenbank (wie hier MongoDB), Load Balancer oder interne Services – überall, wo TLS-Zertifikate eingesetzt werden, ist das Monitoring ihrer Laufzeit Pflicht. OpenSSL ist dabei das Schweizer Taschenmesser der Kryptografie: Kein GUI, kein Browser, kein Cloudtool – nur du, das Terminal und pure Kontrolle.

Wer regelmäßig Zertifikate prüft, sollte den Check automatisieren – etwa mit einem Cronjob, der täglich läuft und bei weniger als 30 Tagen Restlaufzeit eine Warnung per E-Mail oder Chat ausgibt.

Mit einem simplen openssl x509 -in <file> -noout -enddate bist du in Sekundenschnelle über das Ablaufdatum deines Zertifikats im Bilde. Kein großes Tool, keine Abhängigkeiten – einfach effizient. Ein abgelaufenes Zertifikat kann dich teuer zu stehen kommen, ein kurzer OpenSSL-Befehl kann dich davor bewahren.