Types de fichiers SSL : CRT, KEY, PEM, PFX, CSR et CA Bundle expliqués

Lorsque vous téléchargez votre certificat SSL, vous vous retrouvez avec une pile d'extensions : .crt, .key, .pem, .pfx, .csr et en plus un CA Bundle. À première vue, ils se ressemblent tous, mais chacun remplit un rôle distinct, et placer le mauvais fichier au mauvais endroit signifie que le HTTPS ne fonctionnera tout simplement pas. Ce guide passe en revue chaque type de fichier SSL courant, montre ce qu'il contient et clarifie quel serveur attend quel fichier. À la fin, vous saurez exactement ce que vous tenez et où le placer.

Qu'est-ce que le PEM ? (Un format, pas un type de fichier)

Le PEM n'est pas un type de certificat, mais un format d'encodage. Il stocke les données sous forme de texte ASCII encodé en Base64, entre des marqueurs comme -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----. Si vous ouvrez un fichier dans un éditeur de texte et voyez ces lignes, il est encodé en PEM. La plupart des fichiers CRT, KEY et CA Bundle sont en réalité écrits en PEM, c'est pourquoi .pem est un conteneur si générique.

CRT / CER — le certificat lui-même

Le fichier CRT (ou .cer) est votre véritable certificat SSL, signé par l'autorité de certification. Il contient votre nom de domaine, les dates de validité et votre clé publique, et commence par -----BEGIN CERTIFICATE-----. Ce fichier n'est pas secret ; c'est une information publique transmise à chaque navigateur qui se connecte.

KEY — la clé privée (à ne jamais partager)

Le fichier KEY est la clé privée de votre certificat et commence par -----BEGIN PRIVATE KEY-----. C'est le cœur du chiffrement HTTPS. Si ce fichier fuite, votre certificat n'est plus digne de confiance. Ne l'envoyez jamais par e-mail, ne le mettez nulle part en public et conservez-le uniquement sur votre serveur.

CSR — la demande de signature

Un CSR (Certificate Signing Request) est généré lorsque vous demandez à une AC d'émettre un certificat. Il porte les détails de votre domaine et de votre organisation et commence par -----BEGIN CERTIFICATE REQUEST-----. La distinction essentielle : un CSR NE contient PAS la clé privée — uniquement votre clé publique et les données de la demande. Une fois le certificat émis, vous n'avez plus besoin du CSR.

CA Bundle — la chaîne intermédiaire

Le CA Bundle (chaîne de certificats intermédiaires) permet aux navigateurs de vérifier que votre certificat remonte réellement à une autorité racine de confiance. Il contient les certificats "intermédiaires" situés entre le vôtre et la racine. S'il manque, certains navigateurs afficheront l'avertissement "certificat non approuvé".

fullchain — certificat et chaîne combinés

Le fichier fullchain est simplement votre certificat (CRT) et le CA Bundle fusionnés en un seul fichier. Des serveurs comme Nginx veulent la chaîne sous forme d'un fichier combiné unique plutôt qu'en morceaux séparés, ce qui rend le fullchain bien pratique.

PFX / P12 — le paquet que Windows adore

Contrairement aux formats texte ci-dessus, le PFX (ou .p12) est un paquet binaire protégé par mot de passe. Il regroupe le certificat, la clé privée et la chaîne dans un seul fichier chiffré. L'univers Windows et IIS utilise ce format au lieu du PEM, et un mot de passe vous sera demandé à l'importation.

Convertir les formats avec openssl

Transformer des fichiers PEM en PFX pour Windows (ou l'inverse) tient en une seule commande :

# PEM (crt + key + chaîne) -> PFX
openssl pkcs12 -export -out certificat.pfx \
  -inkey privee.key -in certificat.crt -certfile ca_bundle.crt

# PFX -> PEM (certificat + clé)
openssl pkcs12 -in certificat.pfx -out certificat.pem -nodes

Quel serveur exige quel fichier ?

  • Apache : exige le crt pour SSLCertificateFile, la key pour SSLCertificateKeyFile et le ca_bundle pour SSLCertificateChainFile (trois fichiers distincts).
  • Nginx : exige le fullchain (certificat + chaîne combinés) pour ssl_certificate et la key pour ssl_certificate_key (deux fichiers).
  • IIS / Windows : veut un seul fichier pfx contenant le certificat, la clé et la chaîne.
  • cPanel / Plesk : vous demande généralement de coller le crt, la key et le ca_bundle dans des champs séparés.

Résumé

En bref : CRT est votre certificat, KEY votre clé privée, CA Bundle la chaîne intermédiaire, fullchain leur combinaison, PFX le paquet chiffré pour Windows, et CSR seulement une demande qui n'est jamais installée sur le serveur. La bonne nouvelle : lorsque vous générez un certificat avec notre assistant SSL gratuit, les fichiers crt, key, ca_bundle, fullchain et pfx arrivent tous ensemble dans un seul ZIP, sans aucune conversion manuelle. Choisissez celui que votre serveur attend et déposez-le. Pour obtenir votre certificat gratuit de 90 jours sans inscription, rendez-vous dès maintenant sur notre assistant SSL gratuit.