bg-blog-articles

Explicación de las extensiones de archivo CRT vs CER

Acabas de recibir los archivos de tu certificado SSL y notas dos extensiones: .crt y .cer. Tu servidor espera una, tu autoridad de certificación (AC) envía la otra. Antes de que empieces a solucionar problemas, aquí tienes la respuesta breve: ambas extensiones de archivo contienen los mismos datos de certificado X.509, y la diferencia es sobre todo una convención de nomenclatura.

CER frente a CRT

Pero «mayoritariamente» está haciendo un trabajo pesado en esa frase. Las preferencias de plataforma, los formatos de codificación y las configuraciones del servidor pueden convertir un simple cambio de nombre en una instalación fallida. Esta guía explica exactamente qué son los archivos .CRT y .CER, en qué se diferencian y cómo convertirlos sin romper nada.


Índice

  1. ¿Qué es un archivo .CRT?
  2. ¿Qué es un archivo .CER?
  3. CRT vs CER: ¿En qué se diferencian realmente?
  4. PEM vs DER: La codificación que realmente importa
  5. Cómo saber qué codificación tienes
  6. Cómo convertir entre CRT y CER
  7. Otros formatos de archivos de certificado que debes conocer
  8. ¿Qué extensión debes utilizar?
  9. PREGUNTAS FRECUENTES

¡Ahorra un 10% en Certificados SSL al hacer tu pedido en SSL Dragon hoy mismo!

Emisión rápida, encriptación fuerte, 99,99% de confianza del navegador, soporte dedicado y garantía de devolución del dinero en 25 días. Código del cupón: AHORRA10

Una imagen detallada de un dragón en vuelo

¿Qué es un archivo .CRT?

Un archivo .CRT es un archivo de certificado que almacena un certificado de clave pública X.509. Contiene la clave pública del titular del certificado, información de identidad (como el nombre del dominio o la organización) y la firma digital de la CA que lo emitió.

La extensión .CRT es la predeterminada en los sistemas Unix y Linux. Si has configurado SSL/TLS en Apache, Nginx o la mayoría de servidores web basados en Linux, es probable que hayas trabajado con archivos .CRT. Casi siempre están codificados en formato PEM – un archivo de texto ASCII Base64 que puedes abrir en cualquier editor de texto. Verás el contenido envuelto entre las cabeceras —–BEGIN CERTIFICATE—– y —–END CERTIFICATE—–.


¿Qué es un archivo .CER?

Un archivo .CER también almacena un certificado de clave pública X.509 con los mismos datos: clave pública, datos de identidad y una firma de CA. El contenido es idéntico al de un archivo .CRT.

La extensión .CER es más común en los sistemas Windows. Cuando exportas certificados desde Microsoft IIS, el Administrador de Certificados de Windows o los Servicios de Certificación de Active Directory, la salida por defecto es un archivo .CER. Estos archivos pueden estar en formato PEM (texto Base64) o DER (binario). La codificación depende de cómo se exportó el archivo, no de la propia extensión del archivo.


CRT vs CER: ¿En qué se diferencian realmente?

Diferencias entre CER y CRT

Técnicamente, no hay ninguna diferencia funcional entre los archivos .CRT y .CER. Ambos contienen certificados X.509, ambos pueden utilizar codificación PEM o DER, y ambos sirven para lo mismo en configuraciones SSL/TLS. Las distinciones se reducen a convenciones, valores predeterminados de la plataforma y expectativas del servidor.

Función.CRT.CER
Datos del certificadoCertificado de clave pública X.509Certificado de clave pública X.509
Plataforma comúnUnix / LinuxWindows
Codificación típicaPEM (ASCII Base64)DER (binario) o PEM
Utilizado porApache, Nginx, OpenSSLIIS, herramientas Windows, Java (DER)
¿Lectura humana?Sí (cuando PEM)Sólo cuando está codificado en PEM
¿Contiene clave privada?No (sólo cert público)No (sólo cert público)
¿Intercambiables?

Lo más importante: La extensión del archivo no determina la codificación. Un archivo .CER puede estar codificado con PEM, y un archivo .CRT puede estar codificado con DER. Lo que importa es el contenido del archivo, no la extensión.


PEM vs DER: La codificación que realmente importa

Puesto que .CRT y .CER son esencialmente lo mismo, la verdadera distinción que hay que entender es entre los dos formatos de codificación que pueden utilizar ambas extensiones: PEM y DER.

PEM (Privacy-Enhanced Mail) es un formato basado en texto que codifica los datos del certificado en Base64 ASCII. Los archivos PEM son legibles por humanos: puedes abrirlos en el Bloc de notas, VS Code o cualquier editor de texto y ver el contenido Base64 entre las cabeceras BEGIN/END. PEM es el formato estándar para Apache, Nginx y la mayoría del software de servidor de código abierto.

DER (Distinguished Encoding Rules) es el equivalente binario. Los archivos DER contienen los mismos datos del certificado pero en binario crudo, por lo que no son legibles en un editor de texto. La codificación DER es habitual en los entornos basados en Java y en los almacenes de certificados de Windows.

FunciónPEMDER
CodificaciónTexto ASCII Base64Binario
¿Se puede leer en un editor de texto?No
Tamaño del archivoLigeramente más grandeMás pequeño
Extensiones comunes.crt, .cer, .pem.cer, .der
Plataformas típicasLinux, Apache, NginxWindows, Java
¿Se pueden almacenar varios certificados?Sí (encadenado en un archivo)No (un cert por archivo)

Cómo saber qué codificación tienes

No siempre puedes saber la codificación sólo por la extensión del archivo. Pero hay dos formas rápidas de comprobarlo:

1. Abre el archivo en un editor de texto. Si ves —–BEGIN CERTIFICATE—– seguido de un bloque de texto Base64, está codificado con PEM. Si el archivo parece un galimatías o caracteres confusos, está codificado con DER.

2. Utiliza OpenSSL para inspeccionarlo. Ejecuta el siguiente comando para intentar leer el archivo como PEM:

openssl x509 -in certificate.crt -text -noout

Si eso da error, prueba a leerlo como DER:

openssl x509 -in certificate.cer -inform der -text -noout

Cualquiera que sea el comando que te devuelva los detalles del certificado, te indicará el formato de codificación.


¡Ahorra un 10% en Certificados SSL al hacer tu pedido en SSL Dragon hoy mismo!

Emisión rápida, encriptación fuerte, 99,99% de confianza del navegador, soporte dedicado y garantía de devolución del dinero en 25 días. Código del cupón: AHORRA10

Una imagen detallada de un dragón en vuelo

Cómo convertir entre CRT y CER

El proceso de conversión depende de si vas a cambiar sólo la extensión del archivo o también vas a convertir el formato de codificación.

Misma codificación – Sólo cambia el nombre

Si ambos archivos utilizan la misma codificación (ambos PEM o ambos DER), puedes renombrar directamente la extensión. No es necesario cambiar los datos:

Linux / macOS

mv certificate.crt certificate.cer

Windows (símbolo del sistema)

ren certificate.crt certificate.cer

De PEM a DER (y viceversa)

Si necesitas cambiar la codificación – por ejemplo, tu servidor espera un .CER codificado con DER, pero tú tienes un .CRT codificado con PEM – utiliza OpenSSL:

Convierte PEM (.CRT) a DER (.CER):

openssl x509 -in certificate.crt -outform der -out certificate.cer

Convierte DER (.CER) a PEM (.CRT):

openssl x509 -in certificate.cer -inform der -outform pem -out certificate.crt

Utilizar el Asistente de Exportación de Certificados de Windows

Si prefieres un enfoque GUI en Windows:

  1. Haz doble clic en el archivo del certificado para abrirlo.
  2. Ve a la pestaña Detalles y haz clic en Copiar a archivo.
  3. En el Asistente para exportar certificados, elige X.509 binario codificado en DER (. CER ) o X.509 codificado en Base-64 (.CER), y luego guárdalo con la extensión que desees.

Consejo para solucionar problemas: Si tu servidor rechaza el certificado tras la conversión, comprueba dos veces el formato de codificación, no sólo la extensión. Un archivo .CER en formato PEM no funcionará donde se espera DER, aunque la extensión sea correcta.


Otros formatos de archivos de certificado que debes conocer

Además de .CRT y .CER, te encontrarás con otras extensiones de archivo de certificado durante la gestión de SSL. Aquí tienes una referencia rápida:

ExtensiónFormatoCaso práctico
.PEMTexto ASCII Base64De uso general; puede contener certificados, claves privadas y cadenas de certificados
.DERBinarioCertificado único en binario; común en entornos Java
.PFX / .P12Binario (PKCS#12)Agrupa certificado + clave privada + cadena en un archivo protegido por contraseña
.P7B / .P7CBase64 ASCII (PKCS#7)Sólo cadena de certificados – sin clave privada; se utiliza en Windows y Java
.CLAVEPEM o DERArchivo de clave privada (no es un certificado, pero a menudo va emparejado con .CRT)

Entre ellos, merecen especial atención los archivos .PFX (PKCS#12 ). A diferencia de los archivos .CRT y .CER -que sólo contienen el certificado público-, los archivos PFX agrupan el certificado, la clave privada y los certificados intermedios en un único archivo cifrado. A menudo utilizarás PFX al importar certificados a Windows IIS o al exportarlos para hacer copias de seguridad.


¿Qué extensión debes utilizar?

La respuesta depende de tu servidor y de tu sistema operativo:

Utiliza .CRT si ejecutas Apache, Nginx o cualquier otro servidor web basado en Linux/Unix. Estas plataformas esperan certificados codificados en PEM, y la extensión .CRT es la convención estándar.

Utiliza .CER si trabajas con Microsoft IIS, Windows Server u otros sistemas basados en Windows. La extensión .CER es la que las herramientas de Windows generan y esperan por defecto.

Consulta la documentación de tu servidor en caso de duda. Algunas plataformas son flexibles y aceptan cualquier extensión. Otras son estrictas en cuanto a la denominación de los archivos. La documentación de tu proveedor de alojamiento o la guía de instalación de SSL especificarán exactamente lo que se necesita.


PREGUNTAS FRECUENTES

¿Son iguales los archivos .CRT y .CER?

Funcionalmente, sí. Ambos almacenan datos de certificados de clave pública X.509 y pueden utilizar codificación PEM o DER. La diferencia es una convención de nomenclatura: .CRT es estándar en Linux/Unix, .CER en Windows.

¿Puedo cambiar el nombre de .CRT a .CER?

Si ambos utilizan el mismo formato de codificación, sí. Pero si necesitas cambiar de la codificación PEM a la DER (o viceversa), utiliza OpenSSL para convertir el contenido del archivo, no sólo la extensión.

¿Los archivos .CRT o .CER contienen la clave privada?

No. Ambas extensiones sólo almacenan el certificado público. Las claves privadas se guardan en archivos separados (normalmente .KEY) o en contenedores PKCS#12 (.PFX/.P12).

¿Qué codificación necesita mi servidor?

Apache y Nginx suelen necesitar codificación PEM. Microsoft IIS y las aplicaciones Java suelen utilizar DER. Consulta la documentación de configuración SSL de tu servidor para conocer los requisitos específicos.


Conclusión

El debate CRT vs. CER es más sobre convenciones de nomenclatura que sobre diferencias técnicas. Ambas extensiones almacenan certificados X.509, y ambas pueden codificarse en formato PEM o DER. Lo que importa es adecuar la codificación correcta a los requisitos de tu servidor, y OpenSSL simplifica la conversión.

Si necesitas un certificado SSL fiable para tu sitio web, SSL Dragon te ofrece una amplia gama de certificados de confianza de las mejores CA, como DigiCert, Sectigo y GeoTrust. Tanto si utilizas Apache, Nginx o IIS, obtendrás los archivos adecuados junto con asistencia para la instalación paso a paso. Busca certificados SSL en ssldragon.com y protege tu sitio hoy mismo.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Una imagen detallada de un dragón en vuelo
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.