证书解析 把 PEM 或 DER 编码的 X.509 证书 / CSR / 公钥拆开成可读字段:颁发者、有效期、域名清单、密钥算法、扩展属性、SHA 指纹。所有解析在浏览器本地用 PKI.js + WebCrypto 完成,证书字节不会上传到任何服务器。
| 格式 | 识别方式 | 典型来源 |
|---|---|---|
| PEM | 以 -----BEGIN ...----- 开头 | cat cert.pem、浏览器 “导出证书 (PEM)“ |
| DER | 二进制文件 | .der / .cer 文件直接拖入 |
| 纯 Base64 | 从 PEM 去掉首尾标记后的 Base64 | 复制证书”中间那段” |
工具自动按内容嗅探,不需要手动选类型。CSR、SPKI 公钥、PKCS#1 RSA 公钥也都通过同一入口识别。
工具只解析、不验证:不检查吊销状态(OCSP / CRL)、不验证证书链的可信路径、不校验签名是否合法。要做完整链验证请用 openssl verify、certutil -verify 或浏览器 DevTools 的”安全”标签。私钥与签发请求不在本工具范围内。
X.509 证书、PKCS#10 CSR(证书签名请求)、RSA / EC 公钥(SPKI 或 PKCS#1)。输入可以是 PEM 文本(-----BEGIN ...-----)、纯 Base64,或拖入二进制 DER 文件(.der / .cer)。
不会。所有解析都在浏览器本地用 WebCrypto + ASN.1 完成,证书内容不会经过任何后端。这也是和很多在线证书解析工具的关键区别——线上工具大多需要把 PEM 粘贴到远程服务器解析,敏感证书不要这么做。
当 Subject 和 Issuer 完全一致时即为自签名,工具会显式提示。自签名证书只能用于内网或测试,浏览器和系统不会信任;正式上线必须使用 CA 签发的证书(如 Let's Encrypt、DigiCert 等)。
指纹是对整段证书 DER 字节的哈希,用来在不公开内容的前提下唯一标识一张证书。常见用途:浏览器证书钉扎(pinning)、企业内部信任清单、运维比对"我看到的证书"和"应该部署的证书"是否一致。SHA-256 优先,SHA-1 已不安全但兼容旧系统。
工具按"现在时刻"对比 notAfter。如果你刚换机或时间不同步,可能浏览器和服务器时间一致都还没到过期点。真正以服务器返回的 Date 头为准——但绝大多数客户端都以本地时间判断,所以建议至少提前 30 天续签。
不支持。本工具刻意只解析公开信息(证书、CSR、公钥),不处理私钥(PKCS#8 / PKCS#1 私钥)。私钥不应粘贴到任何在线工具——哪怕是本地处理的也不必要,本机用 openssl pkey -in key.pem -text 即可。