以下のcommandでSSL証明書の期限を取得できることは見つけられたのですが、SNI環境で取得出来なかったのでtipsです。
非SNI環境での取得command
$ openssl s_client -connect nosni.example.jp:443 < /dev/null 2> /dev/null | openssl x509 -text | grep Not
Not Before: Jul 27 00:00:00 2016 GMT
Not After : Aug 27 12:00:00 2017 GMT
SNI環境での取得command
$ openssl s_client -connect sni.example.jp:443 -servername sni.example.jp < /dev/null 2> /dev/null | openssl x509 -text | grep Not
Not Before: Jul 27 00:00:00 2016 GMT
Not After : Aug 27 12:00:00 2017 GMT
該当SSL証明書を名前指定する必要があるという話でした。
cloudfront上のAmazon Certificateで動作確認済みです。
自動更新されるのになぜ期限を取得する必要があるかはツッコまないで下さい。