什麼是SSL憑證解碼器?
SSL憑證解碼器解析PEM編碼的X.509憑證,顯示所有欄位——主旨、簽發者、有效期間、主旨替代名稱(SAN)、金鑰用途和指紋。可用於排除HTTPS問題或在部署前驗證憑證詳情。
解碼器先剝掉 PEM 標頭、做 base64 解碼,接著按 X.509 ASN.1 結構逐層展開:主體 DN、發行者 DN、序號、有效期、公鑰參數、簽章演算法、密鑰用途擴充、擴充密鑰用途、SAN、基本約束,以及 SHA-1/SHA-256 指紋。整段過程在本地完成,內容不上傳——這對包含內網主機名的憑證鏈特別重要。
使用方法
- 貼上PEM編碼的憑證(即 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之間的文字)。
- 檢視解碼後的欄位:主旨、簽發者、序號、有效期間、SAN清單和金鑰詳情。
- 檢查憑證到期狀態,複製個別欄位或完整的解碼輸出。
何時使用
- 新申請的萬用字元憑證部署前,先看 SAN 是否涵蓋所有要保護的網域。
- HTTPS 交握失敗時,把抓到的憑證跟預期指紋對比以定位問題。
- 稽核內部 CA 的憑證鏈,檢查有沒有弱簽章演算法或不安全的密鑰用途旗標。
結果
一位DevOps工程師收到了 *.example.com 的新萬用憑證。將PEM貼到這裡,驗證SAN是否包含所有預期網域,確認到期日為一年後,並檢查簽章演算法是否為SHA-256。
常見問題
- 憑證內容會被傳到伺服器嗎?
- 不會。解析在本地完成,按「解碼」時不發任何網路請求。這對暴露內網主機名(像 intranet.acme.local)或私有 CA 名稱的憑證很重要——這些資訊你應該不想出現在第三方伺服器的日誌裡。
- SHA-1 跟 SHA-256 指紋差別在哪?
- 兩者都是對 DER 編碼憑證做的雜湊。SHA-1 是 160 位元的舊指紋,很多工具仍在顯示;SHA-256 是現代 256 位元版本。它們指向同一張憑證,監控工具需要哪個就用哪個。
- 怎麼看憑證是不是自簽?
- 比較「主體」(Subject)和「發行者」(Issuer)欄位。完全相同就是自簽憑證(自己簽自己)。瀏覽器預設不信任自簽——內部服務你自己掌握信任庫沒問題,公開網站不行。
- 為什麼憑證顯示「尚未生效」?
- 目前時間早於憑證的 notBefore。可能是 CA 給了未來日期,或本機時鐘走錯了。先檢查系統時間——CI 容器和嵌入式裝置時鐘漂幾小時,經常就會弄壞 HTTPS。
- Key Usage(密鑰用途)欄位意味著什麼?
- 它限制公鑰可以合法用在哪些場景。TLS 伺服器憑證通常是「數位簽章」加「密鑰加密」。「CRL 簽署」「憑證簽署」是 CA 的旗標。若伺服器憑證帶 CA 旗標,代表設定錯誤,用戶端可能拒絕連線。