TLS/SSL 证书在线解析与解码工具

SSL 证书通常以加密的 Base64 (PEM) 格式存储,难以直接查阅获取证书的详细参数信息。 SSL 证书解析工具 能够将复杂的证书代码转化为直观的技术规格,帮助您在部署前更好地核实证书信息准确性。

即时在线解码 PEM 格式的 X.509 证书。以清晰、结构化的直观界面,快速查阅常用名称 (CN)、主体验证域名 (SANs)、颁发机构及到期时间。

1. 本地解析

安全性是我们的首要准则。解析过程完全在您的浏览器端完成,证书内容绝不会上传至服务器,确保您的私密信息不出本地。

2. 关键信息提取

一键解析通用名称 (CN)、备用名称 (SAN)、颁发者信息、加密算法以及详细的指纹摘要(SHA-1/SHA-256)等 TLS/SSL 证书核心信息。

3. 有效期监控

清晰展示证书的生效与截止日期,并自动计算剩余有效期,助您提前规划续期工作,避免服务中断。

💡 使用场景: 适用于检查申请的泛域名证书是否包含预期的子域名,或在 Nginx 报错时核对证书是否完整签发或者证书是否过期。

粘贴您的 PEM/CRT 格式证书代码,实时透视 SSL/TLS 证书的加密算法、公钥特征、签发者及域名别名(SANs)。本工具完全基于您的浏览器本地运行,绝不上传、记录您的任何凭证数据,保障您的网络资产安全。

无效的证书格式,请检查是否包含 BEGIN/END 标记。

字段含义说明

1. 通用主体域名 (Common Name / CN):
这是证书所绑定的核心主域名(例如 example.space)。当浏览器发起 HTTPS 请求时,会首先核对该字段与访问的网址是否完全一致,它是防止域名冒用和钓鱼网站的第一道防线。

2. 主体备用名称 (Subject Alternative Names / SANs):
这是现代 X.509 证书中极为关键的扩展属性。它允许一张证书同时保护多个不同的域名或通配符域名(例如 *.example.space)。解析此字段可以百分百确认证书的弹性保护范围。

3. 版本号 (Version):
展示该数字证书所遵循的 X.509 国际标准版本。现代互联网中几乎所有受信任的 SSL/TLS 证书都统一采用 V3 版本,该版本支持加入丰富的扩展属性(如上述的 SANs 标签)。

4. 签发机构 (Issuer):
这是签发该证书的权威证书颁发机构(CA)的完整主体信息。它以结构化字符串(包含国家 C、组织 O、组织单位 OU 等)展示是谁为您的网站安全进行了官方背书,例如全球信任的 Let's Encrypt 或 DigiCert。

5. 签发机构通用名 (Issuer Common Name / Issuer CN):
这是签发机构的直观简称或根/中间证书的名称(例如 Let's Encrypt Authority R3R10)。运维人员通过查看该字段,可以快速梳理出证书的信任链条(Certificate Chain),便于排查中间证书缺失导致的报错。

6. 签名算法 (Signature Algorithm):
展示 CA 机构在签发此证书时所使用的密码学哈希与加密算法组合(如 sha256WithRSAEncryption 或现代高强度的 ecdsa-with-SHA384)。它决定了证书在网络传输中防篡改的技术强度。

7. 证书序列号 (Serial Number):
由证书颁发机构(CA)分配给每张证书的唯一十六进制数字编号。它在 CA 的管理系统中是绝对唯一的 acceleration 凭证,用于唯一标识该证书,并在证书吊销列表(CRL)中作为检索核心。

8. 公钥加密强度 (Public Key Strength):
展示网站自身非对称加密密钥的类型与长度(如 RSA 2048-bitECDSA 256-bit)。公钥强度直接决定了 SSL 握手阶段非对称加密的防爆破安全级别,符合行业现代合规标准。

9. 精确有效期限 (Validity Period):
明确标注证书的“生效时间 (Not Before)”与“过期时间 (Not After)”。在此时间窗口之外,证书将被浏览器判定为无效。解析此字段能帮助站长建立精准的自动化续期与到期监控提醒。

10. SHA-1 指纹 (SHA-1 Fingerprint):
基于旧版 SHA-1 算法计算出的证书内容全局唯一哈希摘要。虽然 SHA-1 在数字签名领域已不再安全,但该指纹仍广泛作为旧版操作系统、老旧运维工具或特定资产管理系统中识别和比对证书的辅助标识。

11. SHA-256 指纹 (SHA-256 Fingerprint):
基于现代高强度 SHA-256 算法生成的证书全量哈希摘要。这是现行行业标准的“数字指纹”,具有极高的抗碰撞性。常用于企业级网络审计、高安全要求服务器的手动 Pinning(证书绑定),以及防御中间人(MITM)攻击时的真实性核对。

🔒 安全提示: 本解析工具完全在您的浏览器本地运行,证书内容绝不会上传至服务器,确保您的加密信息 100% 私密安全。

📋 标准 SSL 证书解析案例与字段演示

当您成功解析一段合规的 PEM 证书文本(通常以 -----BEGIN CERTIFICATE----- 开头)后,工具将为您结构化呈现 TLS/SSL 证书核心凭证数据:

案例演示:Let's Encrypt 域名证书 🔒 安全合规性证书
通用主体域名(CN): example.com
主体备用名称(SANs): example.com
版本号: 2
签发机构: C=US, O=Let's Encrypt, CN=R10
签发机构通用名: R13
签名算法: sha256WithRSAEncryption
公钥加密强度: RSA (2048 bit)
证书序列号: 11:22:33:44:12:34:56:78
SHA-1 指纹: 11:22:33:33:C2:A4:F4:A7
SHA-256 指纹: 11:22:33:44:55:66:BF:22
有效期限: • 签发时间:2026-05-01 UTC
• 过期时间:2026-07-30 UTC
时间状态(Status): 在保(剩余 60 天)
运维场景应用: 部署前通过解析案例中的 主体备用名称/Subject Alternative Names (SANs),可以百分百核对该证书是否同时支持您的主域名及下属所有二级子域名(通配符支持),避免由于配置了错误的域名范围导致浏览器弹出“您的连接不是私密连接(ERR_CERT_COMMON_NAME_INVALID)”的安全警告。

关于证书解析的常见问题

问:为什么证书解析中的主体别名(SANs)对多域名站点至关重要?

答:在早期的 X.509 标准中,证书只通过 通用主体域名/Common Name (CN) 绑定单个域名。现代互联网全面采用 主体备用名称/SANs (Subject Alternative Names) 扩展属性。一张合规的 SSL 证书可以在 SANs 中包含数十个完全不同的域名或泛域名。利用本在线解析工具,您可以在部署至 Nginx/Apache 前,肉眼核对该证书是否已经完美覆盖了您申请的所有服务站点。

问:通过本工具解析证书,会存在证书信息被拦截或泄露的风险吗?

答:绝无风险。本站的数字证书解析功能完全基于前端 JavaScript 技术构建(底层通过 Web Crypto 或 Forge 等纯本地库实现)。当您粘贴 CRT 文本时,所有的 ASN.1 结构解码工作均在您本地电脑的浏览器沙盒内部完成,没有任何数据会流向外部服务器。请注意,数字证书本身(CRT/PEM 文件)是用于在公网上广播的公共凭证,不包含敏感的私钥(KEY 文件),因此即便是公开展示也是完全安全的。

问:支持哪些证书格式?

答:本工具完美支持标准的 PEM 编码证书格式,通常以 '-----BEGIN CERTIFICATE-----' 开头,广泛存在于以 .pem、.crt 或 .cer 为后缀的证书文件中。

问:排查TLS/SSL域名域名是否匹配?

答:前往 SSL 证书私钥匹配校验模块 检查您的证书密钥配对状态。