Tipos de archivos SSL: qué son CRT, KEY, PEM, PFX, CSR y CA Bundle

Cuando descargas tu certificado SSL acabas con un montón de extensiones: .crt, .key, .pem, .pfx, .csr y además un CA Bundle. A primera vista parecen iguales, pero cada uno cumple una función distinta, y colocar el archivo equivocado en el lugar equivocado significa que HTTPS simplemente no funcionará. Esta guía repasa cada uno de los tipos de archivos SSL habituales, muestra qué contiene cada uno y aclara qué servidor espera qué archivo. Al final sabrás exactamente qué tienes en las manos y dónde colocarlo.

¿Qué es PEM? (Un formato, no un tipo de archivo)

PEM no es un tipo de certificado, sino un formato de codificación. Almacena los datos como texto ASCII codificado en Base64 entre marcadores como -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----. Si abres un archivo en un editor de texto y ves esas líneas, está codificado en PEM. La mayoría de los archivos CRT, KEY y CA Bundle están escritos en PEM, por eso .pem es un contenedor tan genérico.

CRT / CER — el certificado en sí

El archivo CRT (o .cer) es tu certificado SSL real, firmado por la autoridad de certificación. Contiene tu nombre de dominio, las fechas de validez y tu clave pública, y empieza con -----BEGIN CERTIFICATE-----. Este archivo no es secreto; es información pública que se sirve a cada navegador que se conecta.

KEY — la clave privada (nunca la compartas)

El archivo KEY es la clave privada de tu certificado y empieza con -----BEGIN PRIVATE KEY-----. Es el corazón del cifrado HTTPS. Si este archivo se filtra, tu certificado deja de ser fiable. Nunca lo envíes por correo, no lo subas a ningún sitio público y guárdalo solo en tu servidor.

CSR — la solicitud de firma

Un CSR (Certificate Signing Request) se genera cuando pides a una CA que emita un certificado. Lleva los datos de tu dominio y organización y empieza con -----BEGIN CERTIFICATE REQUEST-----. La distinción clave: un CSR NO contiene la clave privada, solo tu clave pública y los datos de la solicitud. Una vez emitido el certificado, ya no necesitas el CSR.

CA Bundle — la cadena intermedia

El CA Bundle (cadena de certificados intermedios) permite a los navegadores verificar que tu certificado realmente se remonta a una autoridad raíz de confianza. Contiene los certificados "intermedios" que están entre el tuyo y el raíz. Si falta, algunos navegadores mostrarán la advertencia "certificado no confiable".

fullchain — certificado y cadena combinados

El archivo fullchain es simplemente tu certificado (CRT) y el CA Bundle fusionados en un solo archivo. Servidores como Nginx quieren la cadena como un único archivo combinado en lugar de piezas separadas, lo que hace que fullchain sea muy práctico.

PFX / P12 — el paquete que adora Windows

A diferencia de los formatos de texto anteriores, PFX (o .p12) es un paquete binario y protegido con contraseña. Empaqueta el certificado, la clave privada y la cadena en un único archivo cifrado. El mundo de Windows e IIS usa este formato en lugar de PEM, y te pedirá una contraseña al importarlo.

Convertir formatos con openssl

Convertir archivos PEM en un PFX para Windows (o al revés) se hace con un solo comando:

# PEM (crt + key + cadena) -> PFX
openssl pkcs12 -export -out certificado.pfx \
  -inkey privada.key -in certificado.crt -certfile ca_bundle.crt

# PFX -> PEM (certificado + clave)
openssl pkcs12 -in certificado.pfx -out certificado.pem -nodes

¿Qué servidor necesita qué archivo?

  • Apache: necesita el crt para SSLCertificateFile, la key para SSLCertificateKeyFile y el ca_bundle para SSLCertificateChainFile (tres archivos separados).
  • Nginx: necesita el fullchain (certificado + cadena combinados) para ssl_certificate y la key para ssl_certificate_key (dos archivos).
  • IIS / Windows: quiere un único archivo pfx que contiene el certificado, la clave y la cadena.
  • cPanel / Plesk: normalmente te pide pegar el crt, la key y el ca_bundle en campos separados.

Resumen

En resumen: CRT es tu certificado, KEY es tu clave privada, CA Bundle es la cadena intermedia, fullchain los combina, PFX es el paquete cifrado de Windows y CSR es solo una solicitud que nunca se instala en el servidor. La buena noticia: cuando generas un certificado con nuestro asistente SSL gratuito, los archivos crt, key, ca_bundle, fullchain y pfx llegan todos juntos en un único ZIP, sin necesidad de conversión manual. Elige el que espere tu servidor y colócalo. Para conseguir tu certificado gratuito de 90 días sin registro, visita ahora nuestro asistente SSL gratuito.