什么是证书解析器?
证书解析器是一个基于浏览器的工具,用于解析和显示PEM编码的X.509 SSL/TLS证书内容。它提取所有关键信息,包括主体详细信息、颁发者信息、有效期、公钥参数、指纹和证书扩展。
什么是X.509证书?
X.509证书是将公钥绑定到身份的数字文档。它们是用于保护网络流量、电子邮件和其他互联网通信的SSL/TLS加密的基础。每个证书都包含有关证书持有者(主体)、颁发证书的证书颁发机构(颁发者)和使用的密钥的结构化信息。
为什么要解析证书?
证书检查对于需要验证和排查SSL/TLS配置的安全专业人员、系统管理员和开发人员至关重要。
故障排除
安全审计
过期监控
链验证
类型识别
指纹验证
如何使用证书解析器
证书解析器提供多种便捷方法来加载和分析您的证书。选择最适合您工作流程的方法。
粘贴证书
复制证书
复制您的PEM编码证书,包括-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----页眉和页脚行。
粘贴到文本区域
将证书内容粘贴到解析器的文本区域字段中。
解析
点击解析按钮或按Ctrl+Enter(Mac上为Cmd+Enter)来解析证书。
上传证书文件
点击上传按钮
点击位于文本区域下方的上传文件按钮。
选择证书文件
从您的计算机中选择证书文件。支持的格式包括.pem、.crt、.cer和.txt文件。
自动解析
文件内容将被加载并自动解析,无需额外操作。
拖放
最快的方法是直接从文件管理器将证书文件拖到文本区域。解析器将自动读取和解析文件内容。
尝试示例
初次使用证书解析?点击示例按钮加载ISRG Root X1证书(Let's Encrypt的根CA),并探索解析器如何呈现证书信息。
此示例演示了所有关键功能,包括证书类型徽章、有效性状态、扩展解析和指纹生成。
阅读结果
解析后,证书信息被组织成清晰的结构化部分,便于分析:
徽章
显示证书类型和有效性状态的视觉指示器。
- CA、DV、OV、EV指示器
- 通配符和自签名标志
- 带颜色编码的有效性状态
身份
完整的主体和颁发者信息,包含所有可分辨名称组件。
- 通用名称(CN)
- 组织(O)和单位(OU)
- 版本和签名算法
有效期
证书生命周期,包含精确的开始和结束日期。
- 生效日期
- 过期日期
- 总持续时间计算
公钥
密钥详细信息,包括算法和强度。
- 算法类型(RSA、EC)
- 密钥大小或曲线名称
- 密钥参数
指纹
用于证书验证的唯一标识符。
- 序列号
- SHA-256指纹
- SHA-1指纹和复制按钮
扩展
所有X.509 v3扩展的详细解析。
- 主体备用名称(SAN)
- 密钥用途和扩展密钥用途
- 基本约束、CRL、OCSP
证书链
当您粘贴多个形成链的证书(终端实体、中间证书和根证书)时,解析器会自动检测每个证书并创建标签页界面。使用结果顶部的标签页在证书之间导航——每个标签页显示证书的通用名称,便于识别。
功能
完整的证书解析
解析器提取所有标准X.509证书字段,包括主体、颁发者、序列号、版本、签名算法、有效期和公钥信息。完全支持RSA和椭圆曲线(EC)证书,并进行详细的参数提取。
PEM格式
- Base64编码数据
- 难以阅读
- 需要手动解析
- 没有视觉组织
结构化显示
- 人类可读格式
- 组织化部分
- 即时理解
- 视觉指示器
扩展分析
证书扩展提供有关如何使用和验证证书的关键信息。解析器以可读的、组织化的格式解析和显示所有扩展:
主体备用名称(SAN)
密钥用途
扩展密钥用途
基本约束
密钥标识符
撤销信息
证书策略
颁发机构信息访问
证书类型检测
该工具根据证书的属性和扩展自动识别和显示证书类型,帮助您快速了解证书的用途和验证级别:
| 徽章 | 类型 | 检测条件 | 常见用途 |
|---|---|---|---|
| CA | 证书颁发机构 | 基本约束CA标志设置为TRUE | 签署其他证书、构建信任链 |
| 自签名 | 自签名证书 | 主体和颁发者相同 | 测试、开发、根CA证书 |
| 通配符 | 通配符证书 | CN或SAN以"*."开头 | 保护域的所有子域 |
| DV | 域名验证 | 基本验证策略OID | 标准SSL/TLS加密 |
| OV | 组织验证 | 组织验证策略OID | 具有验证身份的商业网站 |
| EV | 扩展验证 | 存在EV策略OID | 高保证网站(银行、电子商务) |
指纹生成
SHA-256和SHA-1指纹使用Web Crypto API计算,并以冒号分隔的十六进制格式显示。这些密钥哈希值唯一标识证书,对于证书固定和验证至关重要。
点击任何指纹旁的复制按钮,快速将值复制到剪贴板,用于配置文件、文档或验证脚本。
证书链支持
粘贴整个证书链(终端实体、中间证书和根证书),并使用直观的标签页界面在各个证书之间导航。每个标签页显示证书的通用名称,便于识别,允许您:
- 验证从终端实体到根CA的完整信任路径
- 检查每个证书的有效期并确保没有间隙
- 检查中间证书是否具有适当的CA标志
- 验证签名算法在整个链中是否一致
- 确认颁发机构密钥标识符在证书之间正确链接
多种输入方法
解析器提供灵活的输入选项以适应您的工作流程:
粘贴文本
直接从终端输出、电子邮件或文档复制并粘贴PEM编码证书。
上传文件
使用文件选择器从本地文件系统加载证书文件(.pem、.crt、.cer)。
拖放
直接将证书文件从文件管理器拖到文本区域进行即时解析——无需点击。
也接受没有PEM页眉的原始Base64编码证书(-----BEGIN CERTIFICATE-----)——解析器会自动检测并处理它们。
您的数据保持隐私
安全和隐私是证书解析器设计的基础。所有证书处理都完全在您的浏览器中进行:
无上传
无跟踪
仅客户端
常见问题
支持哪些证书格式?
解析器支持PEM编码的X.509证书,这是SSL/TLS证书最常见的格式。PEM格式使用Base64编码,包装在-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----标记之间。
也接受没有PEM页眉的原始Base64编码证书——解析器会自动检测并处理它们。但是,不支持二进制DER编码文件,必须先转换为PEM格式。
openssl x509 -inform der -in cert.der -out cert.pem我可以解析证书链吗?
可以,绝对可以。将多个PEM证书(终端实体、中间证书和根证书)粘贴到文本区域。解析器会自动分别解析每个证书并显示用于在它们之间导航的标签页。
这对以下情况特别有用:
- 验证来自服务器的完整证书链
- 排查中间证书问题
- 验证到根CA的信任路径
- 检查证书链顺序和关系
链中的每个证书将显示在其自己的标签页中,标记为证书的通用名称,便于识别。
我可以上传哪些文件类型?
您可以上传以下扩展名的文件:
.pem- 隐私增强邮件格式(最常见).crt- 证书文件(通常为PEM格式).cer- 证书文件(可以是PEM或DER,仅支持PEM).cert- 证书文件变体.txt- 包含PEM证书的纯文本文件
文件必须包含纯文本格式的PEM编码证书数据。不支持二进制DER编码文件,解析将失败。
指纹是如何计算的?
SHA-256和SHA-1指纹从DER编码的证书数据使用Web Crypto API计算,该API内置于您的浏览器。过程如下:
提取DER数据
PEM证书从Base64解码以获得原始二进制DER编码证书。
哈希计算
DER数据使用Web Crypto API通过SHA-256和SHA-1算法进行哈希。
格式输出
哈希转换为冒号分隔的十六进制格式,便于阅读和比较。
这些指纹可用于验证证书身份、检测篡改和在应用程序中实现证书固定。
证书类型徽章是什么意思?
证书类型徽章提供关键证书特征的即时视觉识别:
| 徽章 | 含义 | 检测方法 |
|---|---|---|
| CA | 证书颁发机构 | 基本约束扩展的CA标志设置为TRUE,表示证书可以签署其他证书 |
| 自签名 | 自签名证书 | 主体和颁发者可分辨名称相同,表示证书由其自己的私钥签署 |
| 通配符 | 通配符证书 | 通用名称或主体备用名称条目以"*."开头,覆盖域的所有子域 |
| DV | 域名验证 | 证书策略扩展包含DV策略OID |
| OV | 组织验证 | 证书策略扩展包含OV策略OID |
| EV | 扩展验证 | 证书策略扩展包含EV策略OID |
有效性状态指示器显示什么?
有效性状态指示器提供证书当前有效性状态的快速视觉评估:
有效(剩余X天)
即将过期(X天)
已过期
尚未生效
我的证书数据安全吗?
是的,绝对安全。所有解析都完全在您的浏览器中使用JavaScript进行。您的证书数据永远不会发送到任何服务器。
安全功能:
- 100%客户端处理——无服务器上传
- 无数据收集或分析跟踪
- 无Cookie或证书数据的本地存储
- 初始页面加载后完全离线工作
- 开源代码可用于安全审计
这使证书解析器可以安全地分析敏感证书,包括来自生产环境、内部CA或机密系统的证书。
还没有评论,快来发表第一条!