SSL-Dateitypen erklärt: CRT, KEY, PEM, PFX, CSR und CA-Bundle

Wenn Sie Ihr SSL-Zertifikat herunterladen, halten Sie plötzlich einen Stapel Endungen in der Hand: .crt, .key, .pem, .pfx, .csr und dazu ein CA-Bundle. Auf den ersten Blick wirken sie alle gleich, doch jede hat eine eigene Aufgabe – und die falsche Datei am falschen Ort bedeutet, dass HTTPS schlicht nicht funktioniert. Dieser Leitfaden erklärt jeden gängigen SSL-Dateityp, zeigt, was darin steckt, und klärt, welcher Server welche Datei erwartet. Am Ende wissen Sie genau, was Sie in der Hand halten und wohin es gehört.

Was ist PEM? (Format, kein Dateityp)

PEM ist gar kein Zertifikatstyp, sondern ein Kodierungsformat. Es speichert Daten als Base64-kodierten ASCII-Text zwischen Markierungen wie -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----. Sehen Sie diese Zeilen beim Öffnen im Texteditor, ist die Datei PEM-kodiert. Die meisten CRT-, KEY- und CA-Bundle-Dateien sind tatsächlich in PEM geschrieben, weshalb .pem ein so allgemeiner Container ist.

CRT / CER — das Zertifikat selbst

Die CRT-Datei (oder .cer) ist Ihr eigentliches SSL-Zertifikat, signiert von der Zertifizierungsstelle. Sie enthält Ihren Domainnamen, die Gültigkeitsdaten und Ihren öffentlichen Schlüssel und beginnt mit -----BEGIN CERTIFICATE-----. Diese Datei ist nicht geheim; sie ist öffentliche Information, die jedem Browser ausgeliefert wird.

KEY — der private Schlüssel (niemals teilen)

Die KEY-Datei ist der private Schlüssel Ihres Zertifikats und beginnt mit -----BEGIN PRIVATE KEY-----. Sie ist das Herzstück der HTTPS-Verschlüsselung. Gerät diese Datei in falsche Hände, gilt Ihr Zertifikat als unsicher. Versenden Sie sie nie per E-Mail, laden Sie sie nirgends öffentlich hoch und bewahren Sie sie nur auf Ihrem Server auf.

CSR — die Signieranfrage

Ein CSR (Certificate Signing Request) entsteht, wenn Sie bei einer CA ein Zertifikat beantragen. Er trägt Ihre Domain- und Organisationsdaten und beginnt mit -----BEGIN CERTIFICATE REQUEST-----. Wichtige Unterscheidung: Ein CSR enthält NICHT den privaten Schlüssel – nur den öffentlichen Schlüssel und die Antragsdaten. Ist das Zertifikat ausgestellt, brauchen Sie den CSR nicht mehr.

CA-Bundle — die Zwischenkette

Das CA-Bundle (Zwischenzertifikatskette) ermöglicht es Browsern zu prüfen, dass Ihr Zertifikat tatsächlich auf eine vertrauenswürdige Stammstelle zurückgeht. Es enthält die "Zwischenzertifikate" zwischen Ihrem und dem Stammzertifikat. Fehlt es, zeigen manche Browser die Warnung "Zertifikat nicht vertrauenswürdig".

fullchain — Zertifikat und Kette kombiniert

Die fullchain-Datei ist einfach Ihr Zertifikat (CRT) und das CA-Bundle zu einer Datei zusammengeführt. Server wie Nginx wollen die Kette als einzelne kombinierte Datei statt in getrennten Teilen, weshalb fullchain praktisch ist.

PFX / P12 — das Paket, das Windows liebt

Anders als die Textformate oben ist PFX (oder .p12) ein binäres, passwortgeschütztes Paket. Es bündelt Zertifikat, privaten Schlüssel und Kette in einer verschlüsselten Datei. Die Windows- und IIS-Welt nutzt dieses Format statt PEM, und beim Import werden Sie nach einem Passwort gefragt.

Formate mit openssl umwandeln

PEM-Dateien in ein PFX für Windows umzuwandeln (oder umgekehrt) gelingt mit einem einzigen Befehl:

# PEM (crt + key + Kette) -> PFX
openssl pkcs12 -export -out zertifikat.pfx \
  -inkey privat.key -in zertifikat.crt -certfile ca_bundle.crt

# PFX -> PEM (Zertifikat + Schlüssel)
openssl pkcs12 -in zertifikat.pfx -out zertifikat.pem -nodes

Welcher Server braucht welche Datei?

  • Apache: benötigt die crt für SSLCertificateFile, die key für SSLCertificateKeyFile und das ca_bundle für SSLCertificateChainFile (drei getrennte Dateien).
  • Nginx: benötigt die fullchain (Zertifikat + Kette kombiniert) für ssl_certificate und die key für ssl_certificate_key (zwei Dateien).
  • IIS / Windows: will eine einzige pfx-Datei mit Zertifikat, Schlüssel und Kette.
  • cPanel / Plesk: verlangt meist, dass Sie crt, key und ca_bundle in getrennte Felder einfügen.

Zusammenfassung

Kurz gesagt: CRT ist Ihr Zertifikat, KEY Ihr privater Schlüssel, CA-Bundle die Zwischenkette, fullchain die Kombination daraus, PFX das verschlüsselte Windows-Paket und CSR nur eine Anfrage, die nie auf dem Server installiert wird. Die gute Nachricht: Wenn Sie ein Zertifikat mit unser kostenloser SSL-Assistent erstellen, kommen crt, key, ca_bundle, fullchain und pfx alle zusammen in einer einzigen ZIP-Datei – ganz ohne manuelle Umwandlung. Wählen Sie einfach, was Ihr Server erwartet, und legen Sie es ab. Holen Sie sich jetzt ohne Anmeldung Ihr kostenloses 90-Tage-Zertifikat über unser kostenloser SSL-Assistent.