Skip to content

快速开始

安装

按场景选安装方式

  • 最快上手 → 方式一 CLI 二进制(单文件,无依赖)
  • 有 Go 环境 → 方式二 Go 源码(可跟最新提交)
  • 容器化环境 → 方式三 Docker
  • 给 AI Agent 用 → 方式四 Skills(+ MCP)

方式一:CLI 二进制(最快)

bash
# Linux x86_64
curl -sL https://github.com/cyberspacesec/certificate-skills/releases/latest/download/certificate-skills_0.1.1_linux_x86_64.tar.gz | tar xz
sudo mv cert-skills /usr/local/bin/
sudo mv cert-skills-mcp /usr/local/bin/   # 可选:MCP 服务端

cert-skills --version

方式二:Go 源码

bash
go install github.com/cyberspacesec/certificate-skills/cmd@latest
go install github.com/cyberspacesec/certificate-skills/cmd/mcp@latest

方式三:Docker

bash
docker run --rm cyberspacesec/cert-skills analyze example.com

方式四:Skills(给 AI Agent)

bash
git clone https://github.com/cyberspacesec/certificate-skills.git
cp -r certificate-skills/.claude/skills/ /your/project/.claude/skills/

复制完成,Claude Code / Cursor 等 Agent 会自动发现 49 个技能。

最佳实践:Skills + MCP 一起用

Skills 给 AI 提供提示智能(什么时候触发哪个工具),MCP 提供工具执行。两者搭配体验最好:把 Skills 复制进 .claude/skills/,再在 .mcp.json~/.claude.jsoncert-skills-mcp

第一个命令:安全评分

bash
cert-skills analyze google.com

输出会给出 0-100 的安全评分与等级:

text
🔒 cert-skills — Certificate Security Toolkit

Target:    google.com
Score:     95/100   [Good]
评分输出怎么读
  • Score 0-100:从 100 起扣,按问题严重度阶梯扣分(Critical −30 / High −20 / Medium −10 / Low −5)。
  • 等级:Good ≥90 / Medium ≥70 / High ≥50 / Critical <50。
  • issues[]:列出每个扣分项的 severity + 描述,-o json.issues[].severity 提取。
  • 离线模式权重不同(更保守),详见 安全评分算法

-o json 拿机器可读结果:

bash
cert-skills analyze google.com -o json | jq '.score, .level, .issues[].severity'

常用命令速览

离线分析本地证书

很多命令同时支持"在线域名"和"离线文件"两种目标——把文件路径传进去即可:

bash
# 在线:连接 example.com 拿证书
cert-skills analyze example.com

# 离线:直接分析本地 PEM,零网络
cert-skills analyze ./server.pem
cert-skills parse ./server.pem
cert-skills fingerprint ./server.pem
cert-skills check-key-usage ./server.pem
cert-skills check-distrusted-ca ./chain.pem

⚠️ 注意:JARM / JA3 / 漏洞扫描 / HSTS / CAA 这类协议层能力必须在线,因为它们要真的发起 TLS 握手或 DNS 查询。证书层检查(密钥用法、序列号熵、策略、不可信 CA、名称约束)均可离线。详见 离线 vs 在线分析

在线 vs 离线能力一览
能力在线域名离线文件
analyze 安全评分✅(权重不同)
scan-cert-security✅ 全 18 项✅ 仅前 12 项
check-key-usage / serial-entropy / policy
check-distrusted-ca / name-constraints
scan-vulns 漏洞扫描
jarm / ja3
check-hsts / check-caa

输出格式

所有命令支持 -o 全局 flag:

bash
cert-skills analyze example.com -o text   # 默认,人类可读
cert-skills analyze example.com -o json   # 机器可读,管道友好
cert-skills batch-analyze -t a.com,b.com -o csv   # 批量命令支持 CSV
cert-skills expiry-monitor -t a.com,b.com -o csv

下一步

  • 选一种集成方式深入 → 集成方式
  • 看完整命令索引 → 本站左侧"功能手册"
  • 理解背后原理 → 实现原理