X.509 证书解码器
粘贴 PEM 或 DER 格式的 X.509 证书或 CSR,即可在浏览器中读取其主题、颁发者、有效期、主题备用名称、公钥和签名算法。
正在加载工具…
X.509 证书解码器 — 把一段 PEM(-----BEGIN CERTIFICATE-----)或 base64 DER 数据粘贴进输入框,即可立刻看到其中可读的字段:证书发给谁、由谁签发、何时过期、覆盖哪些主机名,以及使用了哪种密钥和签名算法。它还能识别证书签名请求(CSR),让你在把请求交给 CA 之前先核对一遍。所有解析都由按需加载的 pkijs 和 asn1js 在本地完成,你的证书和私密信息绝不会离开页面。
X.509 证书解码器 是什么?
X.509 证书解码器是一款免费的浏览器内工具,能把 TLS/SSL 证书或 PKCS#10 证书签名请求那一长串 base64 转换成清晰可读的摘要。系统管理员、DevOps 工程师和安全审查人员用它来确认证书保护了哪些域名、在续期前检查 not-before 与 not-after 日期、查看颁发者和主题,以及读取公钥长度和签名算法——无需在命令行里敲 openssl。它在「证书或 CSR」输入框中接受完整的 PEM 块或纯 base64 DER 主体,自动判断这是证书还是 CSR,并列出主题、颁发者、有效期、主题备用名称、公钥、序列号和签名算法。由于解析完全用 pkijs 和 asn1js 在你的浏览器内运行,不会上传任何内容,工具也能离线使用。
如何使用 X.509 证书解码器
- 复制一份证书或 CSR,如果有 -----BEGIN----- 和 -----END----- 行就一并复制,或只复制 base64 主体。
- 把它粘贴到「证书或 CSR」输入框;只要能解析成功,解码就会自动开始。
- 在「解码详情」输出中阅读:主题、颁发者、有效期、主题备用名称、公钥和签名算法。
- 用复制按钮获取完整的解码摘要,或从输出中复制单独的行。
- 如果输入不是有效的证书或 CSR,请按错误提示修正周围文本或填充后重试。
示例
读取网站的叶子证书
输入
-----BEGIN CERTIFICATE----- MIIDdzCCAl+gAwIBAgIE...truncated... -----END CERTIFICATE-----
输出
主题: CN=example.com 颁发者: CN=R3, O=Let's Encrypt, C=US 有效起始: 2026-01-01 有效截止: 2026-04-01 SAN: example.com, www.example.com 公钥: RSA 2048 位 签名: RSASSA-PKCS1-v1_5 with SHA-256
提交前检查 CSR
输入
-----BEGIN CERTIFICATE REQUEST----- MIICijCCAXICAQAw...truncated... -----END CERTIFICATE REQUEST-----
输出
类型: 证书签名请求(CSR) 主题: CN=api.example.com, O=Example Inc 公钥: EC P-256 签名: ECDSA with SHA-256
常见问题
- 我的证书或 CSR 会被上传到任何地方吗?
- 不会。解码完全在你的浏览器内由按需加载的 pkijs 和 asn1js 库完成。你粘贴的证书或 CSR 绝不会被发送到或存储在任何服务器上,因此工具可离线使用,你的数据始终留在设备上。
- 接受哪些输入格式?
- 带 -----BEGIN CERTIFICATE----- 或 -----BEGIN CERTIFICATE REQUEST----- 行的 PEM 块,以及不带包裹的纯 base64 DER 主体。工具会自动去除空白和头尾行,再把 base64 解码为 DER 字节。
- 它能区分证书和 CSR 吗?
- 可以。它先尝试把输入解析为 X.509 证书;若失败再尝试 PKCS#10 证书签名请求,输出会标明识别出的是哪一种。CSR 没有有效期或颁发者,因此这些字段会被省略。
- 为什么提示我的输入无效?
- base64 可能被截断、含有杂散字符,或属于其他格式,比如私钥或 PKCS#12 包。请确认你粘贴了完整的证书主体,且头尾行与内容相符。
- 它能验证证书是否受信任或已过期吗?
- 它会显示 not-before 与 not-after 日期,便于你自己判断是否过期,但不会对照信任库验证证书,也不检查吊销。它是只读解码器,不是链验证器。