Você acabou de receber seus arquivos de certificado SSL e notou duas extensões: .crt e .cer. Seu servidor espera uma delas e sua autoridade de certificação (CA) enviou a outra. Antes que você comece a solucionar problemas, aqui está a resposta curta: ambas as extensões de arquivo contêm os mesmos dados de certificado X.509, e a diferença é principalmente uma convenção de nomenclatura.

Mas “principalmente” está fazendo um trabalho pesado nessa frase. As preferências de plataforma, os formatos de codificação e as configurações de servidor podem transformar uma simples renomeação em uma instalação com falha. Este guia explica exatamente o que são os arquivos .CRT e .CER, como eles se diferenciam e como você pode convertê-los sem quebrar nada.
Índice
- O que é um arquivo .CRT?
- O que é um arquivo .CER?
- CRT vs. CER: o que é realmente diferente?
- PEM vs DER: A codificação que realmente importa
- Como saber qual codificação você tem
- Como fazer a conversão entre CRT e CER
- Outros formatos de arquivo de certificado que você deve conhecer
- Qual extensão você deve usar?
- PERGUNTAS FREQUENTES
Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
O que é um arquivo .CRT?
Um arquivo .CRT é um arquivo de certificado que armazena um certificado de chave pública X.509. Ele contém a chave pública do titular do certificado, informações de identidade (como o nome do domínio ou da organização) e a assinatura digital da CA que o emitiu.
A extensão .CRT é a padrão nos sistemas Unix e Linux. Se você configurou o SSL/TLS no Apache, Nginx ou na maioria dos outros servidores da Web baseados em Linux, provavelmente trabalhou com arquivos .CRT. Eles quase sempre são codificados no formato formato PEM – um arquivo de texto ASCII Base64 que você pode abrir em qualquer editor de texto. Você verá o conteúdo agrupado entre os cabeçalhos —–BEGIN CERTIFICATE—– e —–END CERTIFICATE—–.
O que é um arquivo .CER?
Um arquivo .CER também armazena um certificado de chave pública X.509 com os mesmos dados: chave pública, detalhes de identidade e uma assinatura de CA. O conteúdo é idêntico ao que está em um arquivo .CRT.
A extensão .CER é mais comum em sistemas Windows. Quando você exporta certificados do Microsoft IIS, do Windows Certificate Manager ou do Active Directory Certificate Services, a saída padrão é um arquivo .CER. Esses arquivos podem estar no formato PEM (texto Base64) ou no formato DER (binário). A codificação depende de como o arquivo foi exportado, e não da extensão do arquivo em si.
CRT vs. CER: o que é realmente diferente?

Tecnicamente, não há diferença funcional entre os arquivos .CRT e .CER. Ambos contêm certificados X.509, ambos podem usar a codificação PEM ou DER e ambos têm a mesma finalidade nas configurações SSL/TLS. As distinções se resumem a convenções, padrões de plataforma e expectativas do servidor.
| Recurso | CRT | .CER |
| Dados do certificado | Certificado de chave pública X.509 | Certificado de chave pública X.509 |
| Plataforma comum | Unix / Linux | Windows |
| Codificação típica | PEM (Base64 ASCII) | DER (binário) ou PEM |
| Usado por | Apache, Nginx, OpenSSL | IIS, ferramentas do Windows, Java (DER) |
| Legível por humanos? | Sim (quando PEM) | Somente quando codificado por PEM |
| Contém a chave privada? | Não (somente certificado público) | Não (somente certificado público) |
| Intercambiáveis? | Sim | Sim |
Principais conclusões: A extensão do arquivo não determina a codificação. Um arquivo .CER pode ser codificado por PEM e um arquivo .CRT pode ser codificado por DER. O que importa é o conteúdo do arquivo, não a extensão.
PEM vs DER: A codificação que realmente importa
Como .CRT e .CER são essencialmente a mesma coisa, a distinção real que você deve entender é entre os dois formatos de codificação que ambas as extensões podem usar: PEM e DER.
O PEM (Privacy-Enhanced Mail) é um formato baseado em texto que codifica os dados do certificado em Base64 ASCII. Os arquivos PEM são legíveis por humanos – você pode abri-los no Bloco de Notas, no VS Code ou em qualquer editor de texto e ver o conteúdo Base64 entre os cabeçalhos BEGIN/END. PEM é o formato padrão para Apache, Nginx e a maioria dos softwares de servidor de código aberto.
DER (Distinguished Encoding Rules) é o equivalente binário. Os arquivos DER contêm os mesmos dados de certificado, mas em binário bruto, portanto, não podem ser lidos em um editor de texto. A codificação DER é comum em ambientes baseados em Java e em armazenamentos de certificados do Windows.
| Recurso | PEM | DER |
| Codificação | Texto ASCII base64 | Binário |
| Você pode ler no editor de texto? | Sim | Não |
| Tamanho do arquivo | Um pouco maior | Menor |
| Extensões comuns | .crt, .cer, .pem | .cer, .der |
| Plataformas típicas | Linux, Apache, Nginx | Windows, Java |
| Você pode armazenar vários certificados? | Sim (encadeado em um arquivo) | Não (um único certificado por arquivo) |
Como saber qual codificação você tem
Você nem sempre pode saber a codificação apenas pela extensão do arquivo. Mas há duas maneiras rápidas de você verificar:
1. Abra o arquivo em um editor de texto. Se você vir —–BEGIN CERTIFICATE—– seguido de um bloco de texto Base64, ele é codificado por PEM. Se o arquivo parecer sem sentido ou com caracteres distorcidos, ele é codificado por DER.
2. Use o OpenSSL para inspecioná-lo. Execute o seguinte comando para tentar ler o arquivo como PEM:
openssl x509 -in certificate.crt -text -noout
Se isso retornar um erro, tente lê-lo como DER:
openssl x509 -in certificate.cer -inform der -text -noout
Qualquer comando que retorne os detalhes do certificado informa a você o formato de codificação.
Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
Como fazer a conversão entre CRT e CER
O processo de conversão depende do fato de você estar alterando apenas a extensão do arquivo ou também convertendo o formato de codificação.
Mesma codificação – basta renomear
Se ambos os arquivos usarem a mesma codificação (ambos PEM ou ambos DER), você poderá renomear a extensão diretamente. Não é necessário alterar os dados:
Linux / macOS
mv certificate.crt certificate.cer
Windows (prompt de comando)
ren certificate.crt certificate.cer
PEM para DER (e vice-versa)
Se você precisar alterar a codificação – por exemplo, seu servidor espera um .CER codificado por DER, mas você tem um .CRT codificado por PEM – use o OpenSSL:
Converta PEM (.CRT) em DER (.CER):
openssl x509 -in certificate.crt -outform der -out certificate.cer
Converta DER (.CER) em PEM (.CRT):
openssl x509 -in certificate.cer -inform der -outform pem -out certificate.crt
Usando o assistente de exportação de certificados do Windows
Se você preferir uma abordagem de GUI no Windows:
- Clique duas vezes no arquivo de certificado para abri-lo.
- Vá para a guia Detalhes e clique em Copiar para arquivo.
- No Assistente de exportação de certificados, escolha entre X.509 binário codificado em DER (.CER) ou X.509 codificado em Base-64 (.CER) e salve com a extensão desejada.
Dica para solução de problemas: Se o seu servidor rejeitar o certificado após a conversão, verifique novamente o formato de codificação, não apenas a extensão. Um arquivo .CER no formato PEM não funcionará onde o DER é esperado, mesmo que a extensão esteja correta.
Outros formatos de arquivo de certificado que você deve conhecer
Além de .CRT e .CER, você encontrará várias outras extensões de arquivo de certificado durante o gerenciamento de SSL. Aqui está uma referência rápida:
| Extensão | Formato | Caso de uso |
| .PEM | Texto ASCII base64 | De uso geral; pode conter certificados, chaves privadas e cadeias de certificados |
| .DER | Binário | Certificado único em binário; comum em ambientes Java |
| .PFX / .P12 | Binário (PKCS#12) | Agrupa certificado + chave privada + cadeia em um arquivo protegido por senha |
| .P7B / .P7C | Base64 ASCII (PKCS#7) | Apenas cadeia de certificados – sem chave privada; usado no Windows e em Java |
| .KEY | PEM ou DER | Arquivo de chave privada (não é um certificado, mas geralmente está associado a um .CRT) |
Entre eles, os arquivos .PFX (PKCS#12) merecem atenção especial. Ao contrário dos arquivos .CRT e .CER, que contêm apenas o certificado público, os arquivos PFX agrupam o certificado, a chave privada e os certificados intermediários em um único arquivo criptografado. Você usará frequentemente o PFX ao importar certificados para o Windows IIS ou ao exportá-los para backup.
Qual extensão você deve usar?
A resposta depende do seu servidor e do sistema operacional:
Use .CRT se você estiver executando o Apache, o Nginx ou qualquer outro servidor da Web baseado em Linux/Unix. Essas plataformas esperam certificados codificados por PEM, e a extensão .CRT é a convenção padrão.
Use .CER se você estiver trabalhando com o Microsoft IIS, o Windows Server ou outros sistemas baseados no Windows. A extensão .CER é o que as ferramentas do Windows geram e esperam por padrão.
Em caso de dúvida, consulte a documentação do servidor. Algumas plataformas são flexíveis e aceitam qualquer extensão. Outras são rigorosas quanto à nomeação de arquivos. A documentação do seu provedor de hospedagem ou o guia de instalação do SSL especificará exatamente o que é necessário.
PERGUNTAS FREQUENTES
Os arquivos .CRT e .CER são iguais?
Funcionalmente, sim. Ambos armazenam dados de certificados de chave pública X.509 e podem usar a codificação PEM ou DER. A diferença é uma convenção de nomenclatura: .CRT é padrão no Linux/Unix, .CER no Windows.
Posso simplesmente renomear .CRT para .CER?
Se ambos usarem o mesmo formato de codificação, sim. Mas se você precisar mudar de codificação PEM para DER (ou vice-versa), use o OpenSSL para converter o conteúdo do arquivo, não apenas a extensão.
Os arquivos .CRT ou .CER contêm a chave privada?
Não. Ambas as extensões armazenam somente o certificado público. As chaves privadas são mantidas em arquivos separados (geralmente .KEY) ou agrupadas em contêineres PKCS#12 (.PFX/.P12).
De que codificação meu servidor precisa?
Normalmente, o Apache e o Nginx precisam de codificação PEM. Os aplicativos Microsoft IIS e Java geralmente usam DER. Verifique a documentação de configuração de SSL do seu servidor para obter requisitos específicos.
Linha de fundo
O debate entre CRT e CER tem mais a ver com convenções de nomenclatura do que com diferenças técnicas. Ambas as extensões armazenam certificados X.509 e ambas podem ser codificadas no formato PEM ou DER. O que importa é combinar a codificação correta com os requisitos do seu servidor, e o OpenSSL simplifica a conversão.
Se você precisar de um certificado SSL confiável para o seu site, o SSL Dragon oferece uma ampla variedade de certificados confiáveis das principais CAs, como DigiCert, Sectigo e GeoTrust. Independentemente de estar usando Apache, Nginx ou IIS, você obterá os arquivos certos, além de suporte para instalação passo a passo. Navegue pelos certificados SSL em ssldragon.com e proteja seu site hoje mesmo.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10






