Zertifikatsformate und Container
Zertifikate können in verschiedenen Dateiformaten vorliegen.
Diese Formate sind nur unterschiedliche Darstellungsarten desselben Inhalts – Zertifikat, Schlüssel oder komplette Zertifikatskette.
Textbasierte und Binärformate
| Format | Typ | Beschreibung |
|---|---|---|
| PEM | Text | Gängigstes Format auf Linux-Systemen. Base64-kodiert mit Kopf-/Fußzeilen (-----BEGIN CERTIFICATE-----). |
| DER | Binär | Binäre Darstellung eines Zertifikats. Häufig unter Windows oder in Java-Keystores. |
| CRT / CER | Beides möglich | Einzelnes Zertifikat im PEM- oder DER-Format. |
| PFX / P12 | Binär | Containerformat mit Zertifikat, privatem Schlüssel und Zwischenzertifikaten, meist passwortgeschützt. |
Beispiel: PEM-Datei ansehen
Ein PEM-Zertifikat kann direkt im Texteditor oder mit OpenSSL angezeigt werden:
cat server.pem
Oder besser lesbar mit OpenSSL:
openssl x509 -in server.pem -text -noout
Ausgabe zeigt:
Subject (Inhaber)
Issuer (Aussteller)
Validity (Gültigkeit)
Subject Alternative Names
Beispiel: PEM ↔ DER umwandeln
Die Inhalte bleiben identisch – nur die Kodierung ändert sich.
# PEM → DER
openssl x509 -in server.pem -outform der -out server.der
# DER → PEM
openssl x509 -in server.der -inform der -out server.pem
Beispiel: Zertifikat und Schlüssel zusammenführen
Ein PFX-Container enthält meist:
das Serverzertifikat,
den privaten Schlüssel,
und optional Intermediate-Zertifikate.
openssl pkcs12 -export \
-inkey server.key \
-in server.crt \
-certfile intermediate.crt \
-out bundle.pfx
Beim Import in Firewalls, Windows oder MDM-Systemen ist das PFX/P12-Format üblich, weil es alles in einer Datei bündelt.
Interaktive Visualisierung
Die folgende Darstellung zeigt die Formate nebeneinander.
Klicke auf eines, um zu sehen, was darin enthalten ist und wann man es verwendet:
PEM ist Standard auf Linux und in OpenSSL.
DER ist die binäre Variante für Windows oder Java.
CRT/CER sind Einzelzertifikate, öffentlich sichtbar.
PFX/P12 enthalten alles in einem Container, verschlüsselt und importierbar.