简述?

? ? ? ? 本文主要是介绍如何使用wireshark导出SSL证书。当前所使用的wireshark版本号为3.6.7。

过滤证书报文

? ? ? ??

? ? ? ? 在显示过滤器中输入 tls.handshake.certificate，按下回车键后，过滤出带有证书的SSL报文。在树形解析视图中Handshake Protocol: Certificate的节点下可能会有多个证书节点，选中其中的Certificate节点，然后点击右键菜单中的导出分组字节流。如图所示：

?导出证书文件

? ? ? ? ?选择路径，输入文件名带上cer后缀。然后用鼠标左键双击证书文件，查看证书信息：

????????出现这样的界面意味着已成功导出证书文件。

其它过滤方式

?????????也可以通过x509来过滤出带证书的SSL报文。注意在3.6.7版本的表达式是x509if.oid，在3.6.7以前的版本是x509if.id，旧版的过滤器有BUG。

记录过滤器BUG

? ? ? ? 查看wireshark3.6.7版本的更新日志：https://www.wireshark.org/update/relnotes/wireshark-3.6.7.html。其中有一条BUG修复记录： TLS certificate parser with filter crash?Issue 18155.? 看了一下BUG描述：

The Idea was to use a filter e.g. "x509if.id == 2.5.4.3". But since that appears to to be invalid I started back spacing till I got "x509if.id == 2" that appeared to be valid. That however crashes wireshark.

意思就是在输入 "x509if.id == 2.5.4.3" 过滤不出想要的数据时，按了退格键导致wireshark崩溃了。

????????