证书解析 把 PEM 或 DER 编码的 X.509 证书 / CSR / 公钥拆开成可读字段:颁发者、有效期、域名清单、公钥算法、扩展属性、SHA 指纹。所有解析在浏览器本地用 PKI.js + WebCrypto 完成,证书字节不会上传到任何服务器。
| 格式 | 识别方式 | 典型来源 |
|---|---|---|
| PEM | 以 -----BEGIN ...----- 开头 | cat cert.pem、浏览器 “导出证书 (PEM)“ |
| DER | 二进制文件 | .der / .cer 文件直接拖入 |
| 纯 Base64 | 从 PEM 去掉首尾标记后的 Base64 | 复制证书”中间那段” |
工具自动按内容嗅探,不需要手动选类型。CSR、SPKI 公钥、PKCS#1 RSA 公钥也都通过同一入口识别。
工具只解析、不验证:不检查吊销状态(OCSP / CRL)、不验证证书链的可信路径、也不替你判断“浏览器一定会不会信”。要做完整链验证请用 openssl verify、certutil -verify 或浏览器 DevTools 的“安全”标签。私钥与签发请求不在本工具范围内。
X.509 证书、PKCS#10 CSR(证书签名请求)、RSA / EC 公钥(SPKI 或 PKCS#1)。输入可以是 PEM 文本(-----BEGIN ...-----)、纯 Base64,或拖入二进制 DER 文件(.der / .cer)。
不会。所有解析都在浏览器本地用 WebCrypto + ASN.1 完成,证书内容不会经过任何后端。即便如此,正式生产环境里的敏感链文件、内部 CA 材料仍建议按最小暴露原则处理,不要因为“本地解析”就随意传播。
当 Subject 和 Issuer 完全一致时通常就是自签名,工具会显式提示。自签名证书常见于内网、开发和测试环境;是否被客户端信任,取决于它有没有被导入到对应的信任库。公网正式站点通常仍应使用受主流信任根签发的证书。
指纹是对整段证书 DER 字节的哈希,用来在不公开内容的前提下唯一标识一张证书。常见用途:浏览器证书钉扎(pinning)、企业内部信任清单、运维比对"我看到的证书"和"应该部署的证书"是否一致。SHA-256 优先,SHA-1 已不安全但兼容旧系统。
工具按当前本地时间对比 notAfter。如果你的系统时间不准,或者实际握手链和你手头解析的不是同一张证书,就可能出现“工具提示过期,但业务暂时还能访问”的情况。更稳妥的做法是同时核对客户端本地时间、服务器实际返回链以及续签部署状态。
不支持。本工具刻意只解析公开信息(证书、CSR、公钥),不处理私钥(PKCS#8 / PKCS#1 私钥)。私钥不应粘贴到任何在线工具——哪怕是本地处理的也不必要,本机用 openssl pkey -in key.pem -text 即可。