bg-blog-articles

Explicação sobre as extensões de arquivo CRT e CER

Você acabou de receber seus arquivos de certificado SSL e notou duas extensões: .crt e .cer. Seu servidor espera uma delas e sua autoridade de certificação (CA) enviou a outra. Antes que você comece a solucionar problemas, aqui está a resposta curta: ambas as extensões de arquivo contêm os mesmos dados de certificado X.509, e a diferença é principalmente uma convenção de nomenclatura.

CER vs. CRT

Mas “principalmente” está fazendo um trabalho pesado nessa frase. As preferências de plataforma, os formatos de codificação e as configurações de servidor podem transformar uma simples renomeação em uma instalação com falha. Este guia explica exatamente o que são os arquivos .CRT e .CER, como eles se diferenciam e como você pode convertê-los sem quebrar nada.


Índice

  1. O que é um arquivo .CRT?
  2. O que é um arquivo .CER?
  3. CRT vs. CER: o que é realmente diferente?
  4. PEM vs DER: A codificação que realmente importa
  5. Como saber qual codificação você tem
  6. Como fazer a conversão entre CRT e CER
  7. Outros formatos de arquivo de certificado que você deve conhecer
  8. Qual extensão você deve usar?
  9. PERGUNTAS FREQUENTES

Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo

O que é um arquivo .CRT?

Um arquivo .CRT é um arquivo de certificado que armazena um certificado de chave pública X.509. Ele contém a chave pública do titular do certificado, informações de identidade (como o nome do domínio ou da organização) e a assinatura digital da CA que o emitiu.

A extensão .CRT é a padrão nos sistemas Unix e Linux. Se você configurou o SSL/TLS no Apache, Nginx ou na maioria dos outros servidores da Web baseados em Linux, provavelmente trabalhou com arquivos .CRT. Eles quase sempre são codificados no formato formato PEM – um arquivo de texto ASCII Base64 que você pode abrir em qualquer editor de texto. Você verá o conteúdo agrupado entre os cabeçalhos —–BEGIN CERTIFICATE—– e —–END CERTIFICATE—–.


O que é um arquivo .CER?

Um arquivo .CER também armazena um certificado de chave pública X.509 com os mesmos dados: chave pública, detalhes de identidade e uma assinatura de CA. O conteúdo é idêntico ao que está em um arquivo .CRT.

A extensão .CER é mais comum em sistemas Windows. Quando você exporta certificados do Microsoft IIS, do Windows Certificate Manager ou do Active Directory Certificate Services, a saída padrão é um arquivo .CER. Esses arquivos podem estar no formato PEM (texto Base64) ou no formato DER (binário). A codificação depende de como o arquivo foi exportado, e não da extensão do arquivo em si.


CRT vs. CER: o que é realmente diferente?

Diferenças entre CER e CRT

Tecnicamente, não há diferença funcional entre os arquivos .CRT e .CER. Ambos contêm certificados X.509, ambos podem usar a codificação PEM ou DER e ambos têm a mesma finalidade nas configurações SSL/TLS. As distinções se resumem a convenções, padrões de plataforma e expectativas do servidor.

RecursoCRT.CER
Dados do certificadoCertificado de chave pública X.509Certificado de chave pública X.509
Plataforma comumUnix / LinuxWindows
Codificação típicaPEM (Base64 ASCII)DER (binário) ou PEM
Usado porApache, Nginx, OpenSSLIIS, ferramentas do Windows, Java (DER)
Legível por humanos?Sim (quando PEM)Somente quando codificado por PEM
Contém a chave privada?Não (somente certificado público)Não (somente certificado público)
Intercambiáveis?SimSim

Principais conclusões: A extensão do arquivo não determina a codificação. Um arquivo .CER pode ser codificado por PEM e um arquivo .CRT pode ser codificado por DER. O que importa é o conteúdo do arquivo, não a extensão.


PEM vs DER: A codificação que realmente importa

Como .CRT e .CER são essencialmente a mesma coisa, a distinção real que você deve entender é entre os dois formatos de codificação que ambas as extensões podem usar: PEM e DER.

O PEM (Privacy-Enhanced Mail) é um formato baseado em texto que codifica os dados do certificado em Base64 ASCII. Os arquivos PEM são legíveis por humanos – você pode abri-los no Bloco de Notas, no VS Code ou em qualquer editor de texto e ver o conteúdo Base64 entre os cabeçalhos BEGIN/END. PEM é o formato padrão para Apache, Nginx e a maioria dos softwares de servidor de código aberto.

DER (Distinguished Encoding Rules) é o equivalente binário. Os arquivos DER contêm os mesmos dados de certificado, mas em binário bruto, portanto, não podem ser lidos em um editor de texto. A codificação DER é comum em ambientes baseados em Java e em armazenamentos de certificados do Windows.

RecursoPEMDER
CodificaçãoTexto ASCII base64Binário
Você pode ler no editor de texto?SimNão
Tamanho do arquivoUm pouco maiorMenor
Extensões comuns.crt, .cer, .pem.cer, .der
Plataformas típicasLinux, Apache, NginxWindows, Java
Você pode armazenar vários certificados?Sim (encadeado em um arquivo)Não (um único certificado por arquivo)

Como saber qual codificação você tem

Você nem sempre pode saber a codificação apenas pela extensão do arquivo. Mas há duas maneiras rápidas de você verificar:

1. Abra o arquivo em um editor de texto. Se você vir —–BEGIN CERTIFICATE—– seguido de um bloco de texto Base64, ele é codificado por PEM. Se o arquivo parecer sem sentido ou com caracteres distorcidos, ele é codificado por DER.

2. Use o OpenSSL para inspecioná-lo. Execute o seguinte comando para tentar ler o arquivo como PEM:

openssl x509 -in certificate.crt -text -noout

Se isso retornar um erro, tente lê-lo como DER:

openssl x509 -in certificate.cer -inform der -text -noout

Qualquer comando que retorne os detalhes do certificado informa a você o formato de codificação.


Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo

Como fazer a conversão entre CRT e CER

O processo de conversão depende do fato de você estar alterando apenas a extensão do arquivo ou também convertendo o formato de codificação.

Mesma codificação – basta renomear

Se ambos os arquivos usarem a mesma codificação (ambos PEM ou ambos DER), você poderá renomear a extensão diretamente. Não é necessário alterar os dados:

Linux / macOS

mv certificate.crt certificate.cer

Windows (prompt de comando)

ren certificate.crt certificate.cer

PEM para DER (e vice-versa)

Se você precisar alterar a codificação – por exemplo, seu servidor espera um .CER codificado por DER, mas você tem um .CRT codificado por PEM – use o OpenSSL:

Converta PEM (.CRT) em DER (.CER):

openssl x509 -in certificate.crt -outform der -out certificate.cer

Converta DER (.CER) em PEM (.CRT):

openssl x509 -in certificate.cer -inform der -outform pem -out certificate.crt

Usando o assistente de exportação de certificados do Windows

Se você preferir uma abordagem de GUI no Windows:

  1. Clique duas vezes no arquivo de certificado para abri-lo.
  2. Vá para a guia Detalhes e clique em Copiar para arquivo.
  3. No Assistente de exportação de certificados, escolha entre X.509 binário codificado em DER (.CER) ou X.509 codificado em Base-64 (.CER) e salve com a extensão desejada.

Dica para solução de problemas: Se o seu servidor rejeitar o certificado após a conversão, verifique novamente o formato de codificação, não apenas a extensão. Um arquivo .CER no formato PEM não funcionará onde o DER é esperado, mesmo que a extensão esteja correta.


Outros formatos de arquivo de certificado que você deve conhecer

Além de .CRT e .CER, você encontrará várias outras extensões de arquivo de certificado durante o gerenciamento de SSL. Aqui está uma referência rápida:

ExtensãoFormatoCaso de uso
.PEMTexto ASCII base64De uso geral; pode conter certificados, chaves privadas e cadeias de certificados
.DERBinárioCertificado único em binário; comum em ambientes Java
.PFX / .P12Binário (PKCS#12)Agrupa certificado + chave privada + cadeia em um arquivo protegido por senha
.P7B / .P7CBase64 ASCII (PKCS#7)Apenas cadeia de certificados – sem chave privada; usado no Windows e em Java
.KEYPEM ou DERArquivo de chave privada (não é um certificado, mas geralmente está associado a um .CRT)

Entre eles, os arquivos .PFX (PKCS#12) merecem atenção especial. Ao contrário dos arquivos .CRT e .CER, que contêm apenas o certificado público, os arquivos PFX agrupam o certificado, a chave privada e os certificados intermediários em um único arquivo criptografado. Você usará frequentemente o PFX ao importar certificados para o Windows IIS ou ao exportá-los para backup.


Qual extensão você deve usar?

A resposta depende do seu servidor e do sistema operacional:

Use .CRT se você estiver executando o Apache, o Nginx ou qualquer outro servidor da Web baseado em Linux/Unix. Essas plataformas esperam certificados codificados por PEM, e a extensão .CRT é a convenção padrão.

Use .CER se você estiver trabalhando com o Microsoft IIS, o Windows Server ou outros sistemas baseados no Windows. A extensão .CER é o que as ferramentas do Windows geram e esperam por padrão.

Em caso de dúvida, consulte a documentação do servidor. Algumas plataformas são flexíveis e aceitam qualquer extensão. Outras são rigorosas quanto à nomeação de arquivos. A documentação do seu provedor de hospedagem ou o guia de instalação do SSL especificará exatamente o que é necessário.


PERGUNTAS FREQUENTES

Os arquivos .CRT e .CER são iguais?

Funcionalmente, sim. Ambos armazenam dados de certificados de chave pública X.509 e podem usar a codificação PEM ou DER. A diferença é uma convenção de nomenclatura: .CRT é padrão no Linux/Unix, .CER no Windows.

Posso simplesmente renomear .CRT para .CER?

Se ambos usarem o mesmo formato de codificação, sim. Mas se você precisar mudar de codificação PEM para DER (ou vice-versa), use o OpenSSL para converter o conteúdo do arquivo, não apenas a extensão.

Os arquivos .CRT ou .CER contêm a chave privada?

Não. Ambas as extensões armazenam somente o certificado público. As chaves privadas são mantidas em arquivos separados (geralmente .KEY) ou agrupadas em contêineres PKCS#12 (.PFX/.P12).

De que codificação meu servidor precisa?

Normalmente, o Apache e o Nginx precisam de codificação PEM. Os aplicativos Microsoft IIS e Java geralmente usam DER. Verifique a documentação de configuração de SSL do seu servidor para obter requisitos específicos.


Linha de fundo

O debate entre CRT e CER tem mais a ver com convenções de nomenclatura do que com diferenças técnicas. Ambas as extensões armazenam certificados X.509 e ambas podem ser codificadas no formato PEM ou DER. O que importa é combinar a codificação correta com os requisitos do seu servidor, e o OpenSSL simplifica a conversão.

Se você precisar de um certificado SSL confiável para o seu site, o SSL Dragon oferece uma ampla variedade de certificados confiáveis das principais CAs, como DigiCert, Sectigo e GeoTrust. Independentemente de estar usando Apache, Nginx ou IIS, você obterá os arquivos certos, além de suporte para instalação passo a passo. Navegue pelos certificados SSL em ssldragon.com e proteja seu site hoje mesmo.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.