X.509 証明書デコーダー
X.509 証明書をサブジェクト・発行者・有効期間・SAN・鍵の詳細・フィンガープリントにデコード — ブラウザ内で解析します。
X.509 証明書デコーダーは、証明書の解析と SHA-1・SHA-256 フィンガープリントの計算をすべてブラウザ内で行います。貼り付けた PEM や DER は端末から離れず、ArrayKit には何もアップロードされません。
証明書&鍵マッチャーを開く
X.509 証明書デコーダー について
X.509 証明書デコーダーは、生の証明書を、それを信頼またはデバッグするために必要な詳細に変換します。PEM ブロック、または base64・hex として与えた DER を貼り付けると、サブジェクトと発行者の識別名、valid・expiring・expired のステータスを明示した notBefore/notAfter の期間、シリアル番号、すべての Subject Alternative Name(DNS・IP・email・URI)、鍵用途と拡張鍵用途、署名アルゴリズム、公開鍵の種類とサイズ(RSA のビット数または EC の曲線)を並べて表示します。既知のサムプリントと比較できるよう SHA-1 と SHA-256 のフィンガープリントも計算します。TLS 証明書・不一致のチェーン・期限切れ間近のエンドポイントを検証する開発者・SRE のために作られています。解析とフィンガープリント計算は端末上で行われ、貼り付けた証明書がアップロードされることはありません。
機能
- PEM 証明書、または base64・hex として与えた DER を受け付け
- サブジェクトと発行者の識別名、シリアル番号を表示
- valid・expiring-soon・expired のステータス付きで有効期間を表示
- すべての Subject Alternative Name をリスト表示 — DNS ホスト・IP・email・URI
- 鍵用途と拡張鍵用途を読みやすい用途にデコード
- 署名アルゴリズムと公開鍵の種類・サイズ(RSA ビット数または EC 曲線)を報告
- Web Crypto API で SHA-1 と SHA-256 のフィンガープリントをローカル計算
- 自己署名証明書と CA 証明書を一目でフラグ表示
X.509 証明書デコーダー の使い方
- PEM 形式(-----BEGIN CERTIFICATE-----)または base64/hex の DER で証明書をコピーします
- 入力欄に貼り付けます
- デコードされたサブジェクト・発行者・有効期間・SAN・鍵の詳細を読みます
- SHA-256 フィンガープリントをコピーして期待するサムプリントと比較します
例
入力
-----BEGIN CERTIFICATE-----
MIIDWjCCAkKgAwIBAgIGChssPU5f...
-----END CERTIFICATE-----
出力
Subject: CN=example.com, O=Example Inc, C=US
Validity: 2024-01-01 → 2025-01-01 (valid)
SANs: DNS example.com, DNS www.example.com, IP 127.0.0.1
Key: RSA 2048-bit · SHA256withRSA
SHA-256: FA:5D:BB:50:F9:9E:1A:55:...
PEM 証明書がサブジェクト・有効期間・SAN・鍵・フィンガープリントにデコードされます。
よくあるエラーとトラブルシューティング
- デコーダーが入力は有効な Base64 ではないと言う。 — BEGIN/END 行を含む PEM ブロック全体を貼り付けるか、DER バイトがある場合は余分な文字なしのクリーンな base64 または hex として貼り付けてください。
- 「This does not look like an X.509 certificate.」と報告される。 — 秘密鍵・CSR・PKCS#12 ファイルを貼り付けた可能性があります。このツールは証明書のみをデコードします。先に証明書を抽出するか、鍵や CSR には対応するツールを使ってください。
- 有効期間は期限切れと表示されるのに、サイトはブラウザで読み込まれる。 — リーフではなく中間証明書やルート証明書、またはキャッシュされたコピーをデコードしている可能性があります。ホスト名に対してサーバーが提示する正確な証明書をデコードしてください。
- SHA-256 フィンガープリントが監視ツールの表示と一致しない。 — フィンガープリントは証明書全体(DER)に対するものです。異なるフィンガープリントは異なる証明書を意味します。更新や再発行された証明書ではなく、正しいものをコピーしたか確認してください。
よくある質問
- このデコーダーはどの証明書形式を読めますか?
- PEM 証明書(-----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- の間の Base64 ブロック)と、base64 または hex として与えた生の DER バイトを読みます。リーフ・中間・ルート証明書を同じ方法でデコードします。
- 証明書が期限切れかどうかをどう判断しますか?
- デコーダーは notBefore と notAfter の日付と、ステータスバッジを表示します: 期間内は valid、残り 30 日未満は expiring soon、notAfter を過ぎると expired です。残り日数も表示します。
- Subject Alternative Name はどこから来ますか?
- 証明書の SAN 拡張から来ます。ツールは各エントリを種類(DNS ホスト名・IP アドレス・email・URI)とともにリスト表示します。これはブラウザが実際にアクセス先のアドレスと照合するものです。
- SHA-1 と SHA-256 のフィンガープリントは何のためですか?
- フィンガープリントは証明書全体のハッシュであり、その正確な証明書を一意に識別します。CA や監視ツールが公開する値と比較して、正しい証明書を見ていることを確認します。
- RSA だけでなく楕円曲線証明書もデコードできますか?
- はい。RSA ではモジュラスのサイズをビットで報告し、EC では P-256 や P-384 のような名前付き曲線を報告します。署名アルゴリズム(たとえば SHA256withRSA や SHA256withECDSA)は別に表示されます。
- 貼り付けた証明書はサーバーに送られますか?
- いいえ。X.509 証明書デコーダーは、証明書の解析とフィンガープリント計算をすべて Web Crypto API を使ってブラウザ内で行います。貼り付けた PEM や DER は端末に留まります。
関連ツール
- 証明書と秘密鍵の照合ツール — 証明書または CSR と秘密鍵が同じペアかを、ローカルで照合します。
- PFX を PEM に変換 — .pfx/.p12(PKCS#12)を、証明書・チェーン・秘密鍵の PEM に分割します。
- SSH 鍵ジェネレーター — Ed25519、RSA、ECDSA のSSH鍵ペアをブラウザ内で生成しダウンロードします。
- JWT デコーダー — JWTのヘッダーとペイロードをデコードし、exp/iat を確認します(検証なし)。
- ハッシュジェネレーター — Web Crypto API による SHA-256 / SHA-1 / SHA-384 / SHA-512。
- CSP ジェネレーター — Content-Security-Policy ヘッダーをディレクティブごとに構築できます。
すべての ArrayKit ツール