Hai appena ricevuto i file del tuo certificato SSL e noti due estensioni: .crt e .cer. Il tuo server se ne aspetta una, la tua autorità di certificazione (CA) ha inviato l’altra. Prima di iniziare a risolvere i problemi, ecco la risposta breve: entrambe le estensioni dei file contengono gli stessi dati del certificato X.509 e la differenza è principalmente una convenzione di denominazione.

Ma “per lo più” sta facendo un po’ di fatica in questa frase. Le preferenze della piattaforma, i formati di codifica e le configurazioni dei server possono trasformare una semplice rinominazione in un’installazione fallita. Questa guida spiega esattamente cosa sono i file .CRT e .CER, in che modo differiscono tra loro e come convertirli senza rompere nulla.
Indice dei contenuti
- Cos’è un file .CRT?
- Cos’è un file .CER?
- CRT vs CER: cosa c’è di veramente diverso?
- PEM vs DER: La codifica che conta davvero
- Come capire quale codifica hai
- Come convertire tra CRT e CER
- Altri formati di file di certificato che dovresti conoscere
- Quale estensione dovresti usare?
- DOMANDE FREQUENTI
Save 10% on SSL Certificates when ordering from SSL Dragon today!
Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10
Cos’è un file .CRT?
Un file .CRT è un file di certificato che memorizza un certificato a chiave pubblica X.509. Contiene la chiave pubblica del titolare del certificato, informazioni sull’identità (come il nome del dominio o dell’organizzazione) e la firma digitale della CA che lo ha emesso.
L’estensione .CRT è quella predefinita sui sistemi Unix e Linux. Se hai configurato SSL/TLS su Apache, Nginx o la maggior parte degli altri server web basati su Linux, probabilmente hai lavorato con i file .CRT. Quasi sempre sono codificati in formato formato PEM – un file di testo ASCII Base64 che puoi aprire in qualsiasi editor di testo. Vedrai il contenuto avvolto tra le intestazioni —–BEGIN CERTIFICATE—– e —–END CERTIFICATE—–.
Cos’è un file .CER?
Un file .CER contiene anche un certificato a chiave pubblica X.509 con gli stessi dati: chiave pubblica, dettagli dell’identità e firma della CA. Il contenuto è identico a quello di un file .CRT.
L’estensione .CER è più comune nei sistemi Windows. Quando esporti certificati da Microsoft IIS, Windows Certificate Manager o Active Directory Certificate Services, l’output predefinito è un file .CER. Questi file possono essere in formato PEM (testo Base64) o DER (binario). La codifica dipende dal modo in cui il file è stato esportato, non dall’estensione del file stesso.
CRT vs CER: quali sono le differenze?

Tecnicamente, non c’è alcuna differenza funzionale tra i file .CRT e .CER. Entrambi contengono certificati X.509, entrambi possono utilizzare la codifica PEM o DER ed entrambi hanno lo stesso scopo nelle configurazioni SSL/TLS. Le distinzioni sono dovute alle convenzioni, alle impostazioni predefinite della piattaforma e alle aspettative del server.
| Caratteristica | .CRT | .CER |
| Dati del certificato | Certificato a chiave pubblica X.509 | Certificato a chiave pubblica X.509 |
| Piattaforma comune | Unix / Linux | Finestre |
| Codifica tipica | PEM (Base64 ASCII) | DER (binario) o PEM |
| Usato da | Apache, Nginx, OpenSSL | IIS, strumenti Windows, Java (DER) |
| Leggibile dall’uomo? | Sì (se PEM) | Solo se codificato in PEM |
| Contiene la chiave privata? | No (solo certificati pubblici) | No (solo certificati pubblici) |
| Intercambiabile? | Sì | Sì |
Aspetto fondamentale: L’estensione del file non determina la codifica. Un file .CER può essere codificato PEM e un file .CRT può essere codificato DER. Ciò che conta è il contenuto del file, non l’estensione.
PEM vs DER: La codifica che conta davvero
Poiché .CRT e .CER sono essenzialmente la stessa cosa, la vera distinzione da capire è tra i due formati di codifica che entrambe le estensioni possono utilizzare: PEM e DER.
PEM (Privacy-Enhanced Mail) è un formato testuale che codifica i dati dei certificati in Base64 ASCII. I file PEM sono leggibili: puoi aprirli con Notepad, VS Code o qualsiasi altro editor di testo e vedere il contenuto Base64 tra le intestazioni BEGIN/END. PEM è il formato standard di Apache, Nginx e della maggior parte dei server open-source.
DER (Distinguished Encoding Rules) è l’equivalente binario. I file DER contengono gli stessi dati del certificato ma in formato binario grezzo, quindi non sono leggibili con un editor di testo. La codifica DER è comune negli ambienti basati su Java e negli archivi di certificati di Windows.
| Caratteristica | PEM | DER |
| Codifica | Testo ASCII Base64 | Binario |
| Leggibile in un editor di testo? | Sì | No |
| Dimensione del file | Leggermente più grande | Più piccolo |
| Estensioni comuni | .crt, .cer, .pem | .cer, .der |
| Piattaforme tipiche | Linux, Apache, Nginx | Windows, Java |
| Può memorizzare più certificati? | Sì (concatenato in un file) | No (singolo certificato per file) |
Come capire quale codifica hai
Non sempre è possibile capire la codifica solo dall’estensione del file. Ma ci sono due modi rapidi per verificarlo:
1. Apri il file in un editor di testo. Se vedi —–BEGIN CERTIFICATE—– seguito da un blocco di testo Base64, significa che è codificato PEM. Se il file ha l’aspetto di un testo incomprensibile o di caratteri confusi, si tratta di una codifica DER.
2. Usa OpenSSL per ispezionarlo. Esegui il seguente comando per tentare di leggere il file come PEM:
openssl x509 -in certificate.crt -text -noout
Se il risultato è un errore, prova a leggerlo come DER:
openssl x509 -in certificate.cer -inform der -text -noout
Il comando che restituisce i dettagli del certificato indica il formato di codifica.
Save 10% on SSL Certificates when ordering from SSL Dragon today!
Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10
Come convertire tra CRT e CER
Il processo di conversione dipende dal fatto che tu stia cambiando solo l’estensione del file o anche il formato di codifica.
Stessa codifica, basta rinominare
Se entrambi i file utilizzano la stessa codifica (entrambi PEM o entrambi DER), puoi rinominare direttamente l’estensione. Non è necessario modificare i dati:
Linux / macOS
mv certificate.crt certificate.cer
Windows (Prompt dei comandi)
ren certificate.crt certificate.cer
Da PEM a DER (e viceversa)
Se hai bisogno di cambiare la codifica – ad esempio, il tuo server si aspetta un .CER codificato in DER, ma tu hai un .CRT codificato in PEM – usa OpenSSL:
Convertire PEM (.CRT) in DER (.CER):
openssl x509 -in certificate.crt -outform der -out certificate.cer
Convertire DER (.CER) in PEM (.CRT):
openssl x509 -in certificate.cer -inform der -outform pem -out certificate.crt
Utilizzo della procedura guidata di esportazione dei certificati di Windows
Se preferisci un approccio GUI su Windows:
- Fai doppio clic sul file del certificato per aprirlo.
- Vai alla scheda Dettagli e clicca su Copia su file.
- Nella procedura guidata di esportazione del certificato, scegli tra X.509 binario codificato DER (.CER) o X.509 codificato Base-64 (.CER), quindi salva con l’estensione desiderata.
Suggerimento per la risoluzione dei problemi: se il tuo server rifiuta il certificato dopo la conversione, controlla il formato di codifica, non solo l’estensione. Un file .CER in formato PEM non funzionerà laddove è previsto il DER, anche se l’estensione è corretta.
Altri formati di file di certificato che dovresti conoscere
Oltre a .CRT e .CER, durante la gestione di SSL incontrerai diverse altre estensioni di file di certificati. Ecco un rapido riferimento:
| Estensione | Formato | Caso d’uso |
| .PEM | Testo ASCII Base64 | Uso generale; può contenere certificati, chiavi private e catene di certificati. |
| .DER | Binario | Certificato singolo in formato binario; comune in ambienti Java |
| .PFX / .P12 | Binario (PKCS#12) | Unisce certificato + chiave privata + catena in un unico file protetto da password. |
| .P7B / .P7C | Base64 ASCII (PKCS#7) | Solo catena di certificati, senza chiave privata; utilizzato in Windows e Java. |
| .KEY | PEM o DER | File della chiave privata (non è un certificato, ma spesso è abbinato a .CRT) |
Tra questi, i file .PFX (PKCS#12) meritano un’attenzione particolare. A differenza dei file .CRT e .CER, che contengono solo il certificato pubblico, i file PFX raggruppano il certificato, la chiave privata e i certificati intermedi in un unico file criptato. Utilizzerai spesso i PFX quando importerai i certificati in Windows IIS o li esporterai per il backup.
Quale estensione dovresti usare?
La risposta dipende dal tuo server e dal sistema operativo:
Usa .CRT se utilizzi Apache, Nginx o qualsiasi altro server web basato su Linux/Unix. Queste piattaforme richiedono certificati con codifica PEM e l’estensione .CRT è la convenzione standard.
Utilizza .CER se lavori con Microsoft IIS, Windows Server o altri sistemi basati su Windows. L’estensione .CER è quella che gli strumenti di Windows generano e prevedono per impostazione predefinita.
In caso di dubbio, consulta la documentazione del tuo server. Alcune piattaforme sono flessibili e accettano entrambe le estensioni. Altre sono rigide per quanto riguarda la denominazione dei file. La documentazione del tuo provider di hosting o la guida all’installazione dell’SSL specificheranno esattamente cosa è necessario fare.
DOMANDE FREQUENTI
I file .CRT e .CER sono uguali?
Dal punto di vista funzionale, sì. Entrambi memorizzano i dati dei certificati a chiave pubblica X.509 e possono utilizzare la codifica PEM o DER. La differenza è una convenzione di denominazione: .CRT è standard su Linux/Unix, .CER su Windows.
Posso semplicemente rinominare .CRT in .CER?
Se entrambi utilizzano lo stesso formato di codifica, sì. Ma se devi passare dalla codifica PEM a quella DER (o viceversa), usa OpenSSL per convertire il contenuto del file, non solo l’estensione.
I file .CRT o .CER contengono la chiave privata?
No. Entrambe le estensioni memorizzano solo il certificato pubblico. Le chiavi private sono conservate in file separati (di solito .KEY) o raggruppate in contenitori PKCS#12 (.PFX/.P12).
Di quale codifica ha bisogno il mio server?
Apache e Nginx in genere richiedono la codifica PEM. Microsoft IIS e le applicazioni Java spesso utilizzano DER. Controlla la documentazione sulla configurazione SSL del tuo server per conoscere i requisiti specifici.
In fondo, la linea di fondo
Il dibattito tra CRT e CER riguarda più le convenzioni di denominazione che le differenze tecniche. Entrambe le estensioni memorizzano certificati X.509 e possono essere codificate in formato PEM o DER. L’importante è adattare la giusta codifica ai requisiti del tuo server e OpenSSL rende semplice la conversione.
Se hai bisogno di un certificato SSL affidabile per il tuo sito web, SSL Dragon offre un’ampia gamma di certificati affidabili delle migliori CA come DigiCert, Sectigo e GeoTrust. Che si tratti di Apache, Nginx o IIS, riceverai i file giusti e un supporto per l’installazione passo dopo passo. Sfoglia i certificati SSL su ssldragon.com e proteggi il tuo sito oggi stesso.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10






