Декодер сертификатов X.509
Декодируйте сертификат X.509 до его субъекта, издателя, срока действия, SAN, деталей ключа и отпечатков — с разбором в вашем браузере.
Декодер сертификатов X.509 разбирает ваш сертификат и вычисляет его отпечатки SHA-1 и SHA-256 целиком в вашем браузере. Вставленный PEM или DER никогда не покидает ваше устройство, и ничего не загружается в ArrayKit.
Открыть сопоставление сертификата и ключа
Об инструменте Декодер сертификатов X.509
Декодер сертификатов X.509 превращает сырой сертификат в детали, нужные, чтобы ему доверять или его отлаживать. Вставьте блок PEM или DER, поданный как base64 или hex, и он выложит различительные имена субъекта и издателя, окно notBefore/notAfter с понятным статусом «действителен», «истекает» или «истёк», серийный номер, каждое Subject Alternative Name (DNS, IP, email, URI), назначения key usage и extended key usage, алгоритм подписи, а также тип и размер открытого ключа (биты RSA или кривая EC). Он также вычисляет отпечатки SHA-1 и SHA-256, чтобы вы могли сверить их с известным. Создан для разработчиков и SRE, проверяющих TLS-сертификаты, несоответствующие цепочки и истекающие эндпоинты. Разбор и вычисление отпечатков происходят на вашем устройстве — вставленный сертификат никогда не загружается.
Возможности
- Принимает сертификаты PEM или DER, поданный как base64 или hex
- Показывает различительные имена субъекта и издателя и серийный номер
- Отображает окно срока действия со статусом «действителен», «скоро истечёт» или «истёк»
- Перечисляет каждое Subject Alternative Name — DNS-хосты, IP, email и URI
- Декодирует key usage и extended key usage в читаемые назначения
- Сообщает алгоритм подписи и тип и размер открытого ключа (биты RSA или кривая EC)
- Вычисляет отпечатки SHA-1 и SHA-256 локально с помощью Web Crypto API
- Помечает самоподписанные и CA-сертификаты с первого взгляда
Как использовать Декодер сертификатов X.509
- Скопируйте сертификат в форме PEM (-----BEGIN CERTIFICATE-----) или DER как base64/hex
- Вставьте его в поле ввода
- Прочитайте декодированные субъект, издателя, срок действия, SAN и детали ключа
- Скопируйте отпечаток SHA-256, чтобы сверить с ожидаемым
Пример
Ввод
-----BEGIN CERTIFICATE-----
MIIDWjCCAkKgAwIBAgIGChssPU5f...
-----END CERTIFICATE-----
Результат
Subject: CN=example.com, O=Example Inc, C=US
Validity: 2024-01-01 → 2025-01-01 (valid)
SANs: DNS example.com, DNS www.example.com, IP 127.0.0.1
Key: RSA 2048-bit · SHA256withRSA
SHA-256: FA:5D:BB:50:F9:9E:1A:55:...
Сертификат PEM, декодированный в субъект, срок действия, SAN, ключ и отпечаток.
Частые ошибки и устранение неполадок
- Декодер сообщает, что ввод не является корректным Base64. — Вставьте весь блок PEM, включая строки BEGIN/END, либо, если у вас байты DER, вставьте их как чистый base64 или hex без лишних символов.
- Он сообщает 'This does not look like an X.509 certificate.' — Возможно, вы вставили закрытый ключ, CSR или файл PKCS#12. Этот инструмент декодирует только сертификаты — сначала извлеките сертификат или используйте подходящий инструмент для ключей и CSR.
- Срок действия показывает «истёк», но сайт всё ещё открывается в браузере. — Возможно, вы декодируете промежуточный или корневой сертификат, а не листовой, либо кэшированную копию. Декодируйте именно тот сертификат, который сервер предъявляет для имени хоста.
- Отпечаток SHA-256 не совпадает с тем, что показывает мой мониторинг. — Отпечатки берутся по всему сертификату (DER). Другой отпечаток означает другой сертификат — убедитесь, что скопировали правильный, а не продлённый или перевыпущенный.
Часто задаваемые вопросы
- Какие форматы сертификатов может читать этот декодер?
- Он читает сертификаты PEM (блок Base64 между -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----) и сырые байты DER, поданные как base64 или hex. Он декодирует листовые, промежуточные и корневые сертификаты одинаково.
- Как определить, истёк ли сертификат?
- Декодер показывает даты notBefore и notAfter и бейдж статуса: «действителен» внутри окна, «скоро истечёт», когда остаётся менее 30 дней, и «истёк», когда notAfter прошло. Он также показывает, сколько дней осталось.
- Откуда берутся Subject Alternative Names?
- Они берутся из расширения SAN сертификата. Инструмент перечисляет каждую запись с её типом — DNS-имя хоста, IP-адрес, email или URI — что и есть то, с чем браузеры реально сверяют адрес, который вы посещаете.
- Для чего нужны отпечатки SHA-1 и SHA-256?
- Отпечаток — это хеш всего сертификата, поэтому он однозначно идентифицирует именно этот сертификат. Вы сверяете его со значением, опубликованным CA или вашим мониторингом, чтобы подтвердить, что смотрите на правильный сертификат.
- Может ли он декодировать сертификат на эллиптической кривой, а не только RSA?
- Да. Для RSA он сообщает размер модуля в битах; для EC — именованную кривую вроде P-256 или P-384. Алгоритм подписи (например, SHA256withRSA или SHA256withECDSA) показан отдельно.
- Отправляется ли вставленный мной сертификат на сервер?
- Нет. Декодер сертификатов X.509 разбирает сертификат и вычисляет его отпечатки целиком в вашем браузере с помощью Web Crypto API. Вставленный PEM или DER остаётся на вашем устройстве.
Связанные инструменты
Все инструменты ArrayKit