# PKI Viewer — Beispiele > Konkrete PKI-Viewer-Durchläufe: Zertifikat prüfen, Ablauf erkennen, Kette analysieren, P7M-Inhalt extrahieren, PKCS#12 öffnen und CSR gegenprüfen. Source: https://www.jpkc.com/db/tools/pki/examples/ Zurück zur Übersicht: [PKI Viewer](https://www.jpkc.com/db/tools/pki/) · Tool live öffnen: [www.jpkc.com/tools/pki/](https://www.jpkc.com/tools/pki/) Diese Seite zeigt den **PKI Viewer** an konkreten Durchläufen. Wie die einzelnen Funktionen genau arbeiten, steht im [Manual](https://www.jpkc.com/db/tools/pki/manual/). ## Beispiel 1: Ein Zertifikat schnell prüfen Ziel: aus einem PEM-Block ablesen, für wen ein Zertifikat gilt und wie lange. 1. Im Tab **PEM Decoder** den Zertifikatstext (`-----BEGIN CERTIFICATE-----` …) in das Eingabefeld einfügen. Hast du keinen zur Hand, klick auf **Example** — das lädt ein selbstsigniertes Beispielzertifikat. 2. **Decode** klicken. **Ergebnis:** Es erscheint eine Zertifikatskarte mit Subject, Issuer, Seriennummer und dem Gültigkeitszeitraum. Oben rechts sagt dir ein Badge sofort, ob das Zertifikat **Valid**, **Expired**, **Not Yet Valid** ist oder in wie vielen Tagen es abläuft. Beim selbstsignierten Beispiel siehst du zusätzlich das **Self-signed**-Badge, weil Subject und Issuer identisch sind. ## Beispiel 2: Restlaufzeit und Hostnamen eines Server-Zertifikats prüfen Ziel: vor einem Deployment kontrollieren, welche Domains ein Zertifikat abdeckt und ob es bald abläuft. 1. Das Server-Zertifikat als `.pem`/`.crt` über **File Analyzer → Browse Files** laden — oder im Browser über das Schloss-Symbol exportieren und hier reinziehen. 2. Die Karte ansehen. **Ergebnis:** Unter **Subject Alt Names** stehen die abgedeckten Hostnamen als Badges (`DNS:www.example.com`, `DNS:example.com` …). Das Feld **Not After** ist farbig: Steht dort ein gelbes **Expires in N days**, solltest du die Erneuerung anstoßen. Unter **Extended Key Usage** bestätigt `serverAuth`, dass es als TLS-Server-Zertifikat gedacht ist. ## Beispiel 3: Eine Zertifikatskette analysieren Ziel: eine Kette aus End-Entity- und CA-Zertifikat verstehen. 1. Im **File Analyzer** das **Example**-Dropdown öffnen und **Certificate Chain (2 certs)** wählen. (Alternativ eine eigene Kette einfügen — mehrere `-----BEGIN CERTIFICATE-----`-Blöcke nacheinander.) **Ergebnis:** Das Tool zählt die Zertifikate und rendert für jedes eine Karte. Das erste ist das End-Entity-Zertifikat (`www.example.com`), das zweite trägt das **CA**-Badge (Basic Constraints: `CA: Yes`). Du erkennst den Zusammenhang daran, dass der **Issuer** des End-Entity-Zertifikats dem **Subject** des CA-Zertifikats entspricht. Per **Show PEM** / **Copy PEM** kannst du jedes Zertifikat einzeln herausziehen — praktisch, um etwa nur die CA in einen Trust-Store zu übernehmen. ## Beispiel 4: Inhalt aus einer signierten P7M-Datei holen Ziel: das in einer `.p7m`-Datei eingebettete Dokument sichtbar machen und herunterladen. 1. Im **File Analyzer** das **Example**-Dropdown öffnen und **Signed P7M (with content)** wählen. (Oder eine eigene `.p7m`/`.p7s`-Datei reinziehen.) **Ergebnis:** Das Tool erkennt den PKCS#7-Container, listet das enthaltene Signaturzertifikat und blendet eine Karte **Encapsulated Content** ein. Bei der Beispieldatei ist das ein Textdokument — du siehst Typ, Größe und eine Vorschau und kannst es über **Download** speichern. Ist der eingebettete Inhalt eine MIME-E-Mail, zeigt das Tool stattdessen die Header (From/To/Subject/Date), Text- und HTML-Teil sowie die Anhänge, die du einzeln herunterladen kannst; die Roh-Mail lässt sich als `.eml` sichern. ## Beispiel 5: Einen PKCS#12-Container öffnen Ziel: aus einer passwortgeschützten `.p12`/`.pfx`-Datei Zertifikat und privaten Schlüssel ansehen. 1. Im **File Analyzer** die `.p12`- oder `.pfx`-Datei reinziehen oder per **Browse Files** wählen. 2. Es erscheint die Zeile **PKCS#12 Password**. Das Container-Passwort eingeben und **Open** klicken (oder Enter drücken). **Ergebnis:** Bei korrektem Passwort meldet das Tool, wie viele Zertifikate und privaten Schlüssel es gefunden hat, und zeigt sie als Karten. Die Schlüssel-Karte nennt bei RSA die Bitlänge und bietet einen PEM-Export. Bei falschem Passwort kommt „Wrong password. Please try again." — alles bleibt lokal, da kannst du beliebig oft probieren. ## Beispiel 6: Einen CSR vor dem Einreichen gegenprüfen Ziel: kontrollieren, dass ein Certificate Signing Request die richtigen Daten enthält, bevor er zur CA geht. 1. Im **PEM Decoder** den CSR-Text (`-----BEGIN CERTIFICATE REQUEST-----` …) einfügen. 2. **Decode** klicken. **Ergebnis:** Die CSR-Karte zeigt das **Subject** (also die beantragten DN-Felder wie `CN`, `O`, `C`), die Bitlänge des öffentlichen RSA-Schlüssels und den Signaturalgorithmus. Sind im CSR Subject Alternative Names hinterlegt, erscheinen sie als `DNS:`-Badges. So fällt ein Tippfehler im Common Name oder eine vergessene Domain auf, bevor das Zertifikat ausgestellt ist. --- Mehr zu den einzelnen Funktionen steht im [Manual](https://www.jpkc.com/db/tools/pki/manual/), strategische Hinweise und Stolperfallen in den [Tipps & Tricks](https://www.jpkc.com/db/tools/pki/tips/). Direkt loslegen kannst du im [Tool](https://www.jpkc.com/tools/pki/).