X.509 Certificate Decoder
Dekodiere ein X.509-Zertifikat in seinen Subject, Issuer, Gültigkeit, SANs, Schlüsseldetails und Fingerprints — geparst in deinem Browser.
Der X.509 Certificate Decoder parst dein Zertifikat und berechnet seine SHA-1- und SHA-256-Fingerprints vollständig in deinem Browser. Das PEM oder DER, das du einfügst, verlässt niemals dein Gerät und nichts wird zu ArrayKit hochgeladen.
Certificate & Key Matcher öffnen
Über X.509 Certificate Decoder
Der X.509 Certificate Decoder verwandelt ein rohes Zertifikat in die Details, die du brauchst, um ihm zu vertrauen oder es zu debuggen. Füge einen PEM-Block ein oder DER, geliefert als Base64 oder Hex, und er legt die Distinguished Names von Subject und Issuer offen, das notBefore/notAfter-Fenster mit klarem Status gültig, bald ablaufend oder abgelaufen, die Seriennummer, jeden Subject Alternative Name (DNS, IP, E-Mail, URI), die Verwendungszwecke von Key Usage und Extended Key Usage, den Signaturalgorithmus sowie Typ und Größe des öffentlichen Schlüssels (RSA-Bits oder EC-Kurve). Er berechnet auch die SHA-1- und SHA-256-Fingerprints, sodass du sie gegen einen bekannten Thumbprint vergleichen kannst. Gebaut für Entwickler und SREs, die TLS-Zertifikate, nicht passende Ketten und ablaufende Endpunkte prüfen. Parsen und Fingerprinting geschehen auf deinem Gerät — das Zertifikat, das du einfügst, wird niemals hochgeladen.
Funktionen
- Akzeptiert PEM-Zertifikate oder DER, geliefert als Base64 oder Hex
- Zeigt die Distinguished Names von Subject und Issuer und die Seriennummer
- Zeigt das Gültigkeitsfenster mit Status gültig, bald ablaufend oder abgelaufen
- Listet jeden Subject Alternative Name auf — DNS-Hosts, IPs, E-Mails und URIs
- Dekodiert Key Usage und Extended Key Usage in lesbare Zwecke
- Meldet den Signaturalgorithmus sowie Typ und Größe des öffentlichen Schlüssels (RSA-Bits oder EC-Kurve)
- Berechnet SHA-1- und SHA-256-Fingerprints lokal mit der Web Crypto API
- Kennzeichnet selbstsignierte und CA-Zertifikate auf einen Blick
So verwendest du X.509 Certificate Decoder
- Kopiere ein Zertifikat in PEM-Form (-----BEGIN CERTIFICATE-----) oder DER als Base64/Hex
- Füge es in das Eingabefeld ein
- Lies den dekodierten Subject, Issuer, die Gültigkeit, SANs und Schlüsseldetails
- Kopiere den SHA-256-Fingerprint, um ihn gegen einen erwarteten Thumbprint zu vergleichen
Beispiel
Eingabe
-----BEGIN CERTIFICATE-----
MIIDWjCCAkKgAwIBAgIGChssPU5f...
-----END CERTIFICATE-----
Ausgabe
Subject: CN=example.com, O=Example Inc, C=US
Validity: 2024-01-01 → 2025-01-01 (valid)
SANs: DNS example.com, DNS www.example.com, IP 127.0.0.1
Key: RSA 2048-bit · SHA256withRSA
SHA-256: FA:5D:BB:50:F9:9E:1A:55:...
Ein PEM-Zertifikat, dekodiert in Subject, Gültigkeit, SANs, Schlüssel und Fingerprint.
Häufige Fehler & Fehlerbehebung
- Der Decoder sagt, die Eingabe sei kein gültiges Base64. — Füge den ganzen PEM-Block einschließlich der BEGIN/END-Zeilen ein, oder wenn du DER-Bytes hast, füge sie als sauberes Base64 oder Hex ohne zusätzliche Zeichen ein.
- Er meldet 'This does not look like an X.509 certificate.' — Du hast womöglich einen privaten Schlüssel, eine CSR oder eine PKCS#12-Datei eingefügt. Dieses Tool dekodiert nur Zertifikate — extrahiere zuerst das Zertifikat oder verwende das passende Tool für Schlüssel und CSRs.
- Die Gültigkeit zeigt abgelaufen, aber die Site lädt im Browser noch. — Du dekodierst womöglich ein Intermediate- oder Root-Zertifikat statt des Leaf oder eine gecachte Kopie. Dekodiere das exakte Zertifikat, das der Server für den Hostnamen präsentiert.
- Der SHA-256-Fingerprint stimmt nicht mit dem überein, den dein Monitoring zeigt. — Fingerprints beziehen sich auf das ganze Zertifikat (DER). Ein anderer Fingerprint bedeutet ein anderes Zertifikat — bestätige, dass du das richtige kopiert hast, nicht ein erneuertes oder neu ausgestelltes Zertifikat.
Häufig gestellte Fragen
- Welche Zertifikatsformate kann dieser Decoder lesen?
- Er liest PEM-Zertifikate (den Base64-Block zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----) und rohe DER-Bytes, geliefert als Base64 oder Hex. Er dekodiert Leaf-, Intermediate- und Root-Zertifikate auf dieselbe Weise.
- Wie erkenne ich, ob ein Zertifikat abgelaufen ist?
- Der Decoder zeigt die notBefore- und notAfter-Daten und ein Status-Badge: gültig innerhalb des Fensters, bald ablaufend, wenn weniger als 30 Tage verbleiben, und abgelaufen, sobald notAfter überschritten ist. Er zeigt auch, wie viele Tage übrig sind.
- Woher kommen die Subject Alternative Names?
- Sie stammen aus der SAN-Erweiterung des Zertifikats. Das Tool listet jeden Eintrag mit seinem Typ auf — DNS-Hostname, IP-Adresse, E-Mail oder URI — was das ist, was Browser tatsächlich gegen die von dir besuchte Adresse abgleichen.
- Wofür sind die SHA-1- und SHA-256-Fingerprints?
- Ein Fingerprint ist ein Hash des gesamten Zertifikats und identifiziert dieses exakte Zertifikat eindeutig. Du vergleichst ihn gegen einen von einer CA oder deinem Monitoring veröffentlichten Wert, um zu bestätigen, dass du das richtige Zertifikat betrachtest.
- Kann es ein Elliptic-Curve-Zertifikat dekodieren, nicht nur RSA?
- Ja. Für RSA meldet es die Modulgröße in Bits; für EC meldet es die benannte Kurve wie P-256 oder P-384. Der Signaturalgorithmus (zum Beispiel SHA256withRSA oder SHA256withECDSA) wird separat gezeigt.
- Wird das Zertifikat, das ich einfüge, an einen Server gesendet?
- Nein. Der X.509 Certificate Decoder parst das Zertifikat und berechnet seine Fingerprints vollständig in deinem Browser mit der Web Crypto API. Das PEM oder DER, das du einfügst, bleibt auf deinem Gerät.
Verwandte Tools
- Zertifikat- & Key-Abgleich — Prüfen, ob ein X.509-Zertifikat oder CSR und ein Private Key zusammengehören, per Public-Key-Fingerprint.
- PFX zu PEM Extractor — Eine passwortgeschützte .pfx/.p12-Datei in Zertifikat-, Chain- und Private-Key-PEM-Blöcke aufteilen.
- SSH-Schlüssel-Generator — Erzeuge Ed25519-, RSA- oder ECDSA-SSH-Schlüsselpaare in deinem Browser und lade sie herunter.
- JWT-Dekoder — Dekodiere Header und Payload eines JWT und prüfe exp/iat (ohne Verifizierung).
- Hash-Generator — SHA-256 / SHA-1 / SHA-384 / SHA-512 über die Web-Crypto-API.
- CSP-Generator — Einen Content-Security-Policy-Header Direktive für Direktive bauen.
Alle ArrayKit-Tools