ZeroTool Workbench
SSL 证书解码器
粘贴任意 X.509 PEM 证书,在线查看 Subject、Issuer、有效期、SAN、公钥算法、签名算法和 SHA-256/SHA-1/MD5 指纹。免费,浏览器端运行,无需上传。
使用方法
- 把 X.509 PEM 证书粘贴到输入框。
- 点击 解码,下方会展示完整字段。
- 查看 有效期 区块,状态会用颜色标记:已过期、有效、即将过期(30 天内)。
- 核对 Subject、Issuer 与 Subject Alternative Names,确认覆盖的域名。
- 需要做 pinning 或写审计日志时,点击 复制 按钮拷贝指纹。
解码后能看到的字段
- 有效期 — Not Before / Not After 时间戳,及彩色状态标签。
- Subject 与 Issuer — CN、O、OU、C、L、ST,以及扩展字段(jurisdiction、business category、serialNumber)。
- Subject Alternative Names — DNS、IP、URI、email 按类型分组展示。
- 公钥 — 算法(RSA / EC / Ed25519 / Ed448)、密钥长度(bits)、RSA 公钥指数、EC 命名曲线。
- Key Usage 与 Extended Key Usage — 数字签名、密钥封装、服务端 / 客户端认证、代码签名、OCSP 签名等。
- Basic Constraints — 是否 CA 证书,pathLenConstraint 路径长度。
- 签名算法 — sha256WithRSAEncryption、ecdsa-with-SHA384、Ed25519 等。
- 指纹 — SHA-256 / SHA-1 / MD5 十六进制(冒号分隔)。
- 序列号 与 版本 — 十六进制序列号 + X.509 版本(一般为 v3)。
PEM 证书是如何解码的
PEM 证书是 DER 编码的 ASN.1 的 Base64 外壳。剥掉头尾、Base64 解码后得到 DER 字节流,再按 ASN.1
结构递归解析:Certificate SEQUENCE 包含 tbsCertificate、
signatureAlgorithm 和 signatureValue,TBS 部分承载了所有可见字段。
本工具用纯 JavaScript 自实现解析器,没有网络往返,没有服务端组件。
典型用途
- 部署 TLS 证书前核对 SAN 覆盖了所有目标域名。
- 批量巡检线上 / 灰度环境的证书过期时间。
- 在移动 App 或 HSTS preload 申请里用 SHA-256 指纹做 pinning。
- 检查签名算法和密钥强度是否符合 PCI DSS、FIPS 140-3、Mozilla Modern profile 等合规规范。
- 调试 Subject CN 与现代浏览器 SAN-only 校验之间的不一致。
本工具的边界
仅解码单张证书。不做链路验证、CRL/OCSP 拉取、吊销检查或真实 TLS 握手。
链路校验请用 openssl verify;线上证书巡检请用
openssl s_client -showcerts 或 nmap —script ssl-cert。
FAQ
证书会上传到服务器吗?
不会。解析全部在浏览器内通过内联 JavaScript 与 Web Crypto API 完成,PEM 内容不会离开本机。生产、灰度、内部证书都可以放心粘贴。
支持哪些证书格式?
仅支持 PEM 格式的 X.509 证书(含 -----BEGIN CERTIFICATE----- 与 -----END CERTIFICATE----- 标记)。DER 二进制不直接支持,请先用 openssl x509 -inform DER -in cert.der -out cert.pem 转换。
工具会验证证书链或信任链吗?
不会。本工具只解析单张证书字段。链路验证请用 openssl verify -CAfile chain.pem cert.pem,或交给操作系统/浏览器的信任库处理。
指纹是如何计算的?
SHA-256 / SHA-1 / MD5 都是对证书的 DER 字节(不是 PEM 文本)计算的摘要。SHA-256 是当下的事实标准,SHA-1 和 MD5 仅为兼容传统工具保留。
支持 ECDSA 或 Ed25519 吗?
都支持。解码器识别 rsaEncryption、id-ecPublicKey(prime256v1 / secp384r1 / secp521r1,以及 secp256k1、Brainpool 系列)、Ed25519 与 Ed448 公钥。