X.509 证书解码器
将一张 X.509 证书解码为它的主体、颁发者、有效期、SAN、密钥详情和指纹——在你的浏览器中解析。
这款 X.509 证书解码器完全在你的浏览器中解析你的证书并计算其 SHA-1 和 SHA-256 指纹。你粘贴的 PEM 或 DER 绝不会离开你的设备,也不会有任何内容上传到 ArrayKit。
打开证书与密钥匹配器
关于 X.509 证书解码器
这款 X.509 证书解码器可将一张原始证书转换为你信任或调试它所需的详情。粘贴一个 PEM 块,或以 base64 或 hex 提供的 DER,它便会展开主体和颁发者的可分辨名称、notBefore/notAfter 有效期窗口(并给出清晰的有效、即将过期或已过期状态)、序列号、每一个 Subject Alternative Name(DNS、IP、email、URI)、密钥用途和扩展密钥用途、签名算法,以及公钥的类型和长度(RSA 位数或 EC 曲线)。它还会计算 SHA-1 和 SHA-256 指纹,让你与已知的指纹进行比对。它专为验证 TLS 证书、错配的证书链和即将过期的端点的开发者和 SRE 而设计。解析和指纹计算都在你的设备上进行——你粘贴的证书绝不会被上传。
功能特性
- 接受 PEM 证书,或以 base64 或 hex 提供的 DER
- 显示主体和颁发者的可分辨名称以及序列号
- 以有效、即将过期或已过期状态显示有效期窗口
- 列出每一个 Subject Alternative Name——DNS 主机、IP、email 和 URI
- 将密钥用途和扩展密钥用途解码为可读的用途
- 报告签名算法以及公钥的类型和长度(RSA 位数或 EC 曲线)
- 用 Web Crypto API 在本地计算 SHA-1 和 SHA-256 指纹
- 一眼标记出自签名证书和 CA 证书
如何使用 X.509 证书解码器
- 复制一张 PEM 形式(-----BEGIN CERTIFICATE-----)的证书,或以 base64/hex 形式的 DER
- 将它粘贴进输入框
- 查看解码后的主体、颁发者、有效期、SAN 和密钥详情
- 复制 SHA-256 指纹,与预期的指纹进行比对
示例
输入
-----BEGIN CERTIFICATE-----
MIIDWjCCAkKgAwIBAgIGChssPU5f...
-----END CERTIFICATE-----
输出
Subject: CN=example.com, O=Example Inc, C=US
Validity: 2024-01-01 → 2025-01-01 (valid)
SANs: DNS example.com, DNS www.example.com, IP 127.0.0.1
Key: RSA 2048-bit · SHA256withRSA
SHA-256: FA:5D:BB:50:F9:9E:1A:55:...
一张 PEM 证书被解码为主体、有效期、SAN、密钥和指纹。
常见错误与故障排除
- 解码器说输入不是有效的 Base64。 — 请粘贴包含 BEGIN/END 行的整个 PEM 块;如果你有 DER 字节,请以干净的 base64 或 hex 粘贴,不要带多余字符。
- 它报告「This does not look like an X.509 certificate.」(这看起来不是一张 X.509 证书。) — 你可能粘贴的是私钥、CSR 或 PKCS#12 文件。本工具只解码证书——请先提取出证书,或使用面向密钥和 CSR 的对应工具。
- 有效期显示已过期,但网站在浏览器中仍能打开。 — 你可能解码的是中间证书或根证书,而非叶证书,或者是一份缓存副本。请解码服务器为该主机名实际出示的那张证书。
- SHA-256 指纹与你监控显示的那个不一致。 — 指纹是针对整张证书(DER)计算的。指纹不同意味着证书不同——请确认你复制的是正确的那一张,而不是续期或重新签发过的证书。
常见问题
- 这款解码器能读取哪些证书格式?
- 它能读取 PEM 证书(-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间的 Base64 块),以及以 base64 或 hex 提供的原始 DER 字节。它以相同方式解码叶证书、中间证书和根证书。
- 我如何判断一张证书是否已过期?
- 解码器会显示 notBefore 和 notAfter 日期以及一个状态徽章:在窗口内为有效,剩余不到 30 天时为即将过期,一旦超过 notAfter 则为已过期。它还会显示剩余多少天。
- Subject Alternative Name 来自哪里?
- 它们来自证书的 SAN 扩展。本工具会列出每一项及其类型——DNS 主机名、IP 地址、email 或 URI——这正是浏览器用来与你访问的地址进行匹配的内容。
- SHA-1 和 SHA-256 指纹有什么用?
- 指纹是整张证书的哈希,因此它能唯一标识那张确切的证书。你可以把它与 CA 或你的监控发布的值进行比对,以确认你看到的是正确的证书。
- 它能解码椭圆曲线证书吗,而不只是 RSA?
- 可以。对于 RSA,它会报告以位为单位的模数长度;对于 EC,它会报告命名曲线,例如 P-256 或 P-384。签名算法(例如 SHA256withRSA 或 SHA256withECDSA)会单独显示。
- 我粘贴的证书会被发送到服务器吗?
- 不会。X.509 证书解码器完全在你的浏览器中使用 Web Crypto API 解析证书并计算其指纹。你粘贴的 PEM 或 DER 始终保留在你的设备上。
相关工具
- 证书与私钥匹配工具 — 检查 SSL 证书与私钥是否配对,并显示公钥指纹。
- PFX 转 PEM 提取工具 — 打开受密码保护的 .pfx/.p12,拆分为证书、链和私钥 PEM。
- SSH 密钥生成器 — 在浏览器中生成 Ed25519、RSA 或 ECDSA 的 SSH 密钥对并下载。
- JWT 解码器 — 解码 JWT 的头部和载荷,并查看 exp/iat(不做验证)。
- 哈希生成器 — 通过 Web Crypto API 生成 SHA-256 / SHA-1 / SHA-384 / SHA-512。
- CSP 生成器 — 在浏览器中逐条指令地构建 Content-Security-Policy 请求头,并生成 meta、nginx 和 Apache 片段。
全部 ArrayKit 工具