Como obter o tipo de codificação usada em um campo Assunto X509?

Use o software decodificador ASN.1 DER:

• OpenSSL:openssl asn1parse -i -in Foo.crt

  (asn1parse espera o formato "PEM" Base64, assim como a maioria dos outros subcomandos do openssl, mas você pode usar -inform DERpara fornecer certificados de formato binário.)

• Dumpasn1 de P.Gutmann:dumpasn1 Foo.der

  (dumpasn1 requer o formato binário (não Base64). Converta o certificado em DER binário usando openssl x509 -in Foo.crt -out Foo.der -outform DERou mesmo usando base64 -d.)

• asn1.js (on-line): https://lapo.it/asn1js/

  (outra versão semelhante em https://pkitools.net/pages/ca/asn1.html )

O DN do assunto é um dos primeiros campos do certificado (antes após os dois carimbos de data e hora – o DN do emissor édepoisantes dos carimbos de data/hora); é representado como uma 'Sequência' com cada RDN sendo um 'Conjunto' (normalmente tendo um elemento, mas o formato permite múltiplos, por exemplo CN=this+UID=that,OU=etc,O=etc).

Por exemplo:

$ openssl x509 -outform DER -in Telia_Root_CA_v2.pem -out /tmp/telia.crt
$ dumpasn1 /tmp/telia.crt
  0 1396: SEQUÊNCIA {
  4 860: SEQUÊNCIA {
  8 3: [0] {                          ← Versão (X.509 v3)
 10 1: INTEIRO 2
        : }                            ↙ Número de série
 13 15: INTEIRO 01 67 5F 27 D6 FE 7A E3 E4 AC BE 09 5B 05 9E
 30 13: SEQUÊNCIA {                     ← Algoritmo
 32 9: IDENTIFICADOR DE OBJETO sha256WithRSAEncryption (1 2 840 113549 1 1 11)
 43 0: NULO
        : }
 45 68: SEQUÊNCIA {                     ←AssuntoO DN do emissor começa aqui
 47 11: DEFINIR {
 49 9: SEQUÊNCIA {
 51 3: IDENTIFICADOR DO OBJETO countryName (2 5 4 6)
 56 2: PrintableString 'FI'
        : }
        : }
 60 26:        SET {                        ← o 'O=...' RDN 
 62 24:          SEQUENCE {                 ← o elemento 'O=...' do RDN 
 64 3:            OBJECT IDENTIFIER OrganizationName (2 5 4 0) 
 69 17:            UTF8String ' Telia Finlândia Oyj' 
        :            } 
        :          }
 88 25: DEFINIR {
 90 23: SEQUÊNCIA {
 92 3: IDENTIFICADOR DE OBJETO commonName (2 5 4 3)
 97 16: UTF8String 'Telia Root CA v2'
        : }
        : }
        : }
115 30: SEQUÊNCIA {
117 13: Horário UTC 29/11/2018 11:55:54 GMT

Método mais específico e mais fácil de ler com OpenSSL:

openssl x509 {<file | -in file} -noout -subject -nameopt oneline,show_type
# change -subject to -issuer (or use both!) if applicable 
# if DN is long or complex enough that single-line is hard to read 
# change oneline to multiline 

# for the cert currently used by www.example.com:

$ openssl x509 <temp -noout -subject # default does not show types
subject=C = US, ST = California, L = Los Angeles, O = Internet\C2\A0Corporation\C2\A0for\C2\A0Assigned\C2\A0Names\C2\A0and\C2\A0Numbers, CN = www.example.org

$ openssl x509 <temp -noout -subject -nameopt oneline,show_type
subject=C = PRINTABLESTRING:US, ST = PRINTABLESTRING:California, L = PRINTABLESTRING:Los Angeles, O = UTF8STRING:Internet\C2\A0Corporation\C2\A0for\C2\A0Assigned\C2\A0Names\C2\A0and\C2\A0Numbers, CN = PRINTABLESTRING:www.example.org

$ openssl x509 <temp -noout -subject -nameopt multiline,show_type
subject=
    countryName               = PRINTABLESTRING:US
    stateOrProvinceName       = PRINTABLESTRING:California
    localityName              = PRINTABLESTRING:Los Angeles
    organizationName          = UTF8STRING:Internet\A0Corporation\A0for\A0Assigned\A0Names\A0and\A0Numbers
    commonName                = PRINTABLESTRING:www.example.org
$

Nas versões mais antigas do OpenSSL o formato padrão é PEM e você deve especificar -inform DER(ou abreviar -inform d) se for aplicável. No entanto, na versão 3.0.0, que agora são as únicas versões suportadas pelo upstream, a maioria dos comandos, inclusive, x509aceita entrada como PEM ou DER automaticamente. ( asn1parsenão, porque ao contrário de outros comandos, ele não olha nem requer as linhas do rótulo PEM; seu formato 'PEM' na verdade aceita qualquer base64, a menos que você especifique a nova opção -strictpem. Às vezes isso é útil, às vezes não.)