快速开始
安装
按场景选安装方式
- 最快上手 → 方式一 CLI 二进制(单文件,无依赖)
- 有 Go 环境 → 方式二 Go 源码(可跟最新提交)
- 容器化环境 → 方式三 Docker
- 给 AI Agent 用 → 方式四 Skills(+ MCP)
方式一:CLI 二进制(最快)
bash
# Linux x86_64
curl -sL https://github.com/cyberspacesec/certificate-skills/releases/latest/download/certificate-skills_0.1.1_linux_x86_64.tar.gz | tar xz
sudo mv cert-skills /usr/local/bin/
sudo mv cert-skills-mcp /usr/local/bin/ # 可选:MCP 服务端
cert-skills --version方式二:Go 源码
bash
go install github.com/cyberspacesec/certificate-skills/cmd@latest
go install github.com/cyberspacesec/certificate-skills/cmd/mcp@latest方式三:Docker
bash
docker run --rm cyberspacesec/cert-skills analyze example.com方式四:Skills(给 AI Agent)
bash
git clone https://github.com/cyberspacesec/certificate-skills.git
cp -r certificate-skills/.claude/skills/ /your/project/.claude/skills/复制完成,Claude Code / Cursor 等 Agent 会自动发现 49 个技能。
最佳实践:Skills + MCP 一起用
Skills 给 AI 提供提示智能(什么时候触发哪个工具),MCP 提供工具执行。两者搭配体验最好:把 Skills 复制进 .claude/skills/,再在 .mcp.json 或 ~/.claude.json 配 cert-skills-mcp。
第一个命令:安全评分
bash
cert-skills analyze google.com输出会给出 0-100 的安全评分与等级:
text
🔒 cert-skills — Certificate Security Toolkit
Target: google.com
Score: 95/100 [Good]评分输出怎么读
- Score 0-100:从 100 起扣,按问题严重度阶梯扣分(Critical −30 / High −20 / Medium −10 / Low −5)。
- 等级:Good ≥90 / Medium ≥70 / High ≥50 / Critical <50。
- issues[]:列出每个扣分项的 severity + 描述,
-o json用.issues[].severity提取。 - 离线模式权重不同(更保守),详见 安全评分算法。
加 -o json 拿机器可读结果:
bash
cert-skills analyze google.com -o json | jq '.score, .level, .issues[].severity'常用命令速览
离线分析本地证书
很多命令同时支持"在线域名"和"离线文件"两种目标——把文件路径传进去即可:
bash
# 在线:连接 example.com 拿证书
cert-skills analyze example.com
# 离线:直接分析本地 PEM,零网络
cert-skills analyze ./server.pem
cert-skills parse ./server.pem
cert-skills fingerprint ./server.pem
cert-skills check-key-usage ./server.pem
cert-skills check-distrusted-ca ./chain.pem⚠️ 注意:JARM / JA3 / 漏洞扫描 / HSTS / CAA 这类协议层能力必须在线,因为它们要真的发起 TLS 握手或 DNS 查询。证书层检查(密钥用法、序列号熵、策略、不可信 CA、名称约束)均可离线。详见 离线 vs 在线分析。
在线 vs 离线能力一览
| 能力 | 在线域名 | 离线文件 |
|---|---|---|
| analyze 安全评分 | ✅ | ✅(权重不同) |
| scan-cert-security | ✅ 全 18 项 | ✅ 仅前 12 项 |
| check-key-usage / serial-entropy / policy | ✅ | ✅ |
| check-distrusted-ca / name-constraints | ✅ | ✅ |
| scan-vulns 漏洞扫描 | ✅ | ❌ |
| jarm / ja3 | ✅ | ❌ |
| check-hsts / check-caa | ✅ | ❌ |
输出格式
所有命令支持 -o 全局 flag:
bash
cert-skills analyze example.com -o text # 默认,人类可读
cert-skills analyze example.com -o json # 机器可读,管道友好
cert-skills batch-analyze -t a.com,b.com -o csv # 批量命令支持 CSV
cert-skills expiry-monitor -t a.com,b.com -o csv