证书与私钥匹配工具
在你的浏览器中直接检查 SSL 证书和私钥是否配对。你的私钥在你的设备上处理,绝不会被上传。
你的证书和私钥完全在你的浏览器中解析与匹配,绝不会被上传。尽管如此,请避免把生产环境的私钥粘贴到任何你无法掌控的在线工具中。
在转换密钥格式?试试 PPK ↔ PEM 转换工具。
关于 证书与私钥匹配工具
这款证书与私钥匹配工具可确认一份 X.509 证书(或一份 CSR)与一个私钥是否确实配对——这原本是你需要用两条 openssl 命令再肉眼比对才能完成的检查。把证书或 CSR 粘贴到一个框,把私钥粘贴到另一个框,它就会告诉你 MATCH 或 NO MATCH。为向你展示原因,它会从每个输入派生出公钥、序列化为规范形式,并为每个显示一个 SHA-256 指纹:当两个指纹相同时该密钥对有效,而差异就是经典的 modulus 不匹配。它支持 RSA 密钥,可处理加密私钥的可选口令,并对无法解析的 PEM 给出清晰的错误。一切都完全在你的浏览器中运行,因此你的私钥在你的设备上处理,绝不会被上传。
功能特性
- 以清晰的 MATCH / NO MATCH 判定确认证书与私钥是否配对
- 也能将 CSR 与生成它的私钥进行匹配
- 为每个输入显示一个 SHA-256 公钥指纹,让你精确看清它们为何匹配或不匹配
- 检测并标注你粘贴的是证书还是 CSR
- 接受加密(PEM)私钥的可选口令
- 对格式错误的 PEM 报告可读的错误,而不是晦涩的失败
- 支持 PKCS#1 和 PKCS#8 PEM 格式的 RSA 密钥
- 完全在客户端运行,因此私钥绝不离开你的设备
如何使用 证书与私钥匹配工具
- 将你的 X.509 证书或 CSR 粘贴到左侧框中。
- 将匹配的私钥粘贴到右侧框中。
- 如果私钥已加密,请在下方字段中输入其口令。
- 阅读 MATCH 或 NO MATCH 判定,并比对两个公钥指纹。
示例
输入
# The classic openssl equivalent this tool replaces:
openssl x509 -noout -modulus -in cert.pem | openssl sha256
openssl rsa -noout -modulus -in key.pem | openssl sha256
输出
MATCH
Cert key a1b2c3… (RSA 2048-bit)
Priv key a1b2c3…
Identical fingerprints — the certificate and key belong together.
无需运行两条 openssl modulus 命令再比对哈希,直接粘贴这两个文件并阅读判定结果即可。
常见错误与故障排除
- 尽管你预期这两个文件应该配对,工具却报告 NO MATCH。 — 你很可能粘贴了来自不同密钥对的证书和私钥,或是在重新签发证书后使用了旧私钥。比对这两个指纹,并重新确认是哪个私钥用于创建了这份证书或 CSR。
- 你看到「Could not parse the certificate or CSR」。 — 确保你粘贴了完整的 PEM 块,包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 行。DER(.der/.cer)文件必须先转换为 PEM。
- 你看到「Could not decrypt the private key」。 — 在口令字段中输入正确的口令。如果私钥使用了不受支持的加密算法,请用你的密钥工具移除口令,再粘贴未加密的 PEM。
- 无法识别 EC 密钥。 — 匹配目前支持 PEM 格式的 RSA 私钥。对于 EC 密钥,暂时请用你自己的工具比对公钥。
常见问题
- 如何检查私钥是否与证书匹配?
- 把证书(或 CSR)和私钥粘贴到两个框中。工具会从每个派生出公钥、为两者显示 SHA-256 指纹,并在它们相同时报告 MATCH——结果与比对 openssl modulus 哈希相同,但无需命令行。
- 什么是 modulus 不匹配?
- 对于 RSA,证书和它的私钥共享相同的 modulus,因此它们产生相同的公钥。modulus 不匹配意味着证书和私钥来自不同的密钥对,无法配合使用——例如在证书签发之后重新生成了私钥。
- 我的私钥会被上传到任何地方吗?
- 不会。证书、CSR 和私钥完全在你的浏览器中解析与比对。你的私钥在你的设备上处理,绝不会发送到服务器。
- 我可以把 CSR 与它的私钥匹配吗?
- 可以。粘贴一份证书签名请求而不是证书,它会以相同方式与私钥匹配——在把 CSR 提交给证书颁发机构之前很有用。
- 它支持加密私钥吗?
- 支持。如果你的私钥受口令保护,在私钥框下方的字段中输入口令,工具会在本地解密它以派生公钥。
- 支持哪些密钥类型?
- 支持 PKCS#1 和 PKCS#8 PEM 格式的 RSA 私钥,与 RSA 证书和 CSR 进行匹配。对 EC 密钥的支持可能会随后加入。
相关工具
- PPK ↔ PEM 转换工具 — 在浏览器中本地将 SSH 私钥在 PuTTY .ppk 与 OpenSSH/PEM(RSA 和 Ed25519)之间转换。
- SSH 密钥生成器 — 在浏览器中生成 Ed25519、RSA 或 ECDSA 的 SSH 密钥对并下载。
- JWT 解码器 — 解码 JWT 的头部和载荷,并查看 exp/iat(不做验证)。
- 哈希生成器 — 通过 Web Crypto API 生成 SHA-256 / SHA-1 / SHA-384 / SHA-512。
- Basic Auth 生成器 — 根据用户名和密码生成并解码 HTTP Basic Auth 授权头。
全部 ArrayKit 工具