PEM, DER, PFX und PKCS#7 im Vergleich: SSL-Zertifikatsformate erklärt und konvertiert

Wenn Sie ein SSL-Zertifikat erhalten, bekommen Sie oft mehr als eine Datei mit unterschiedlichen Endungen: .pem, .crt, .der, .pfx, .p7b. Das Problem: Ihr Server akzeptiert nur ein bestimmtes Format, nicht alle. Dieser Leitfaden erklärt, was jedes Format ist, wo es verwendet wird und wie Sie mit einem SSL-Konverter dazwischen wechseln.

Was sind SSL-Zertifikatsformate?

Alle Formate enthalten dieselben Zertifikatsdaten. Der Unterschied liegt darin, wie die Daten verpackt sind und ob auch der private Schlüssel und die Kettenzertifikate enthalten sind.

  • PEM — Ein Base64-kodiertes Textformat (beginnt mit -----BEGIN CERTIFICATE-----). Es ist der Standard für Apache, Nginx und die Linux-Welt. Eine Datei kann Zertifikat, Kette und privaten Schlüssel zusammen enthalten.
  • DER — Die binäre Variante von PEM. Nicht menschenlesbar; bevorzugt von einigen Java-Anwendungen und Hardwaregeräten. Die Endung lautet meist .der oder .cer.
  • PFX / PKCS#12 — Bündelt Zertifikat, Kette und den privaten Schlüssel in einer einzigen verschlüsselten Datei (.pfx oder .p12). Das Standard-Transportformat für Windows und IIS.
  • P7B / PKCS#7 — Enthält nur das Zertifikat und seine Kette, ohne privaten Schlüssel (.p7b oder .p7c). Üblich für den Kettenaufbau unter Windows und Tomcat.

Welcher Server braucht welches Format?

  • Apache / Nginx (Linux): PEM — eine separate Zertifikatsdatei (mit Kette) und eine separate Datei für den privaten Schlüssel.
  • Microsoft IIS / Windows: PFX (PKCS#12) — Zertifikat, Schlüssel und Kette in einer Datei. Meist die praktischste Option.
  • Apache Tomcat: Üblicherweise ein PKCS#12-(PFX)-Keystore; ältere Konfigurationen nutzen P7B für die Kette.
  • Java-Anwendungen: DER oder PKCS#12 zum Import in einen Keystore.
  • Load Balancer / CDNs: Meist PEM (Zertifikat + Schlüssel).

Wie konvertiert man mit dem SSL-Konverter?

Mit unserem SSL-Konverter wechseln Sie in Sekunden zwischen diesen Formaten. Das Wichtigste dabei: Alles läuft in Ihrem Browser; Ihr privater Schlüssel verlässt nie Ihr Gerät. Es werden keine Dateien auf einen Server hochgeladen, die Konvertierung erfolgt vollständig lokal.

  1. Öffnen Sie das Tool und wählen Sie die zu konvertierende Datei (PEM, DER, P7B oder PFX).
  2. Legen Sie das Zielformat fest.
  3. Wenn Sie eine PFX-Ausgabe erstellen, fügen Sie den privaten Schlüssel hinzu und vergeben optional ein Passwort.
  4. Wenn Sie eine PFX als Eingabe verwenden, müssen Sie deren Passwort eingeben.
  5. Klicken Sie auf Konvertieren und laden Sie das Ergebnis herunter.

Entsprechende openssl-Befehle

Für alle, die die Kommandozeile bevorzugen:

PEM -> DER:   openssl x509 -in cert.pem -outform der -out cert.der
DER -> PEM:   openssl x509 -in cert.der -inform der -out cert.pem
PEM -> PFX:   openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx
PFX -> PEM:   openssl pkcs12 -in cert.pfx -nodes -out cert.pem
PEM -> P7B:   openssl crl2pkcs7 -nocrl -certfile cert.pem -out cert.p7b
P7B -> PEM:   openssl pkcs7 -in cert.p7b -print_certs -out cert.pem

PFX und Datenschutz: warum im Browser?

Eine PFX-Datei ist äußerst sensibel, da sie Ihren privaten Schlüssel enthält. Wer diesen Schlüssel erlangt, kann Ihren Datenverkehr entschlüsseln oder Ihre Website nachahmen. Deshalb ist das Hochladen solcher Konvertierungen auf beliebige Online-Dienste ein ernstes Risiko. In unserem Tool läuft die Konvertierung vollständig clientseitig, sodass Ihr Schlüssel nie Ihren Computer verlässt und Ihre Privatsphäre gewahrt bleibt.

Noch kein Zertifikat?

Wenn Sie kein Zertifikat zum Konvertieren haben, holen Sie sich zuerst eines. Mit unserem kostenlosen 90-Tage-SSL-Assistenten erstellen Sie in Minuten ein Let's-Encrypt-Zertifikat und konvertieren es anschließend in genau das Format, das Ihr Server erwartet.

Zusammenfassung

PEM für Linux/Apache/Nginx, DER binär/Java, PFX für Windows/IIS (mit Schlüssel) und P7B für die Kette (ohne Schlüssel). Bestimmen Sie das richtige Format, konvertieren Sie sicher mit dem SSL-Konverter und denken Sie daran: Der gesamte Vorgang läuft in Ihrem Browser, und Ihr privater Schlüssel verlässt nie Ihr Gerät.