X.509 证书解码器

将一张 X.509 证书解码为它的主体、颁发者、有效期、SAN、密钥详情和指纹——在你的浏览器中解析。

这款 X.509 证书解码器完全在你的浏览器中解析你的证书并计算其 SHA-1 和 SHA-256 指纹。你粘贴的 PEM 或 DER 绝不会离开你的设备,也不会有任何内容上传到 ArrayKit。

打开证书与密钥匹配器

关于 X.509 证书解码器

这款 X.509 证书解码器可将一张原始证书转换为你信任或调试它所需的详情。粘贴一个 PEM 块,或以 base64 或 hex 提供的 DER,它便会展开主体和颁发者的可分辨名称、notBefore/notAfter 有效期窗口(并给出清晰的有效、即将过期或已过期状态)、序列号、每一个 Subject Alternative Name(DNS、IP、email、URI)、密钥用途和扩展密钥用途、签名算法,以及公钥的类型和长度(RSA 位数或 EC 曲线)。它还会计算 SHA-1 和 SHA-256 指纹,让你与已知的指纹进行比对。它专为验证 TLS 证书、错配的证书链和即将过期的端点的开发者和 SRE 而设计。解析和指纹计算都在你的设备上进行——你粘贴的证书绝不会被上传。

功能特性

如何使用 X.509 证书解码器

  1. 复制一张 PEM 形式(-----BEGIN CERTIFICATE-----)的证书,或以 base64/hex 形式的 DER
  2. 将它粘贴进输入框
  3. 查看解码后的主体、颁发者、有效期、SAN 和密钥详情
  4. 复制 SHA-256 指纹,与预期的指纹进行比对

示例

输入

-----BEGIN CERTIFICATE-----
MIIDWjCCAkKgAwIBAgIGChssPU5f...
-----END CERTIFICATE-----

输出

Subject:   CN=example.com, O=Example Inc, C=US
Validity:  2024-01-01 → 2025-01-01 (valid)
SANs:      DNS example.com, DNS www.example.com, IP 127.0.0.1
Key:       RSA 2048-bit · SHA256withRSA
SHA-256:   FA:5D:BB:50:F9:9E:1A:55:...

一张 PEM 证书被解码为主体、有效期、SAN、密钥和指纹。

常见错误与故障排除

常见问题

这款解码器能读取哪些证书格式?
它能读取 PEM 证书(-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间的 Base64 块),以及以 base64 或 hex 提供的原始 DER 字节。它以相同方式解码叶证书、中间证书和根证书。
我如何判断一张证书是否已过期?
解码器会显示 notBefore 和 notAfter 日期以及一个状态徽章:在窗口内为有效,剩余不到 30 天时为即将过期,一旦超过 notAfter 则为已过期。它还会显示剩余多少天。
Subject Alternative Name 来自哪里?
它们来自证书的 SAN 扩展。本工具会列出每一项及其类型——DNS 主机名、IP 地址、email 或 URI——这正是浏览器用来与你访问的地址进行匹配的内容。
SHA-1 和 SHA-256 指纹有什么用?
指纹是整张证书的哈希,因此它能唯一标识那张确切的证书。你可以把它与 CA 或你的监控发布的值进行比对,以确认你看到的是正确的证书。
它能解码椭圆曲线证书吗,而不只是 RSA?
可以。对于 RSA,它会报告以位为单位的模数长度;对于 EC,它会报告命名曲线,例如 P-256 或 P-384。签名算法(例如 SHA256withRSA 或 SHA256withECDSA)会单独显示。
我粘贴的证书会被发送到服务器吗?
不会。X.509 证书解码器完全在你的浏览器中使用 Web Crypto API 解析证书并计算其指纹。你粘贴的 PEM 或 DER 始终保留在你的设备上。

相关工具

全部 ArrayKit 工具