SSL-Zertifikate & Dateiformate verständlich erklärt

26. Juni 2025

Zurück zum Blog Zurück zur Startseite
https
P7B
PEM
PFX
PKCS12
SSL-Zertifikate
SSL-Zertifikat - Dateikonvertierung

In der digitalen Welt sind SSL-Zertifikate ein unverzichtbarer Bestandteil jeder sicheren Internetverbindung. Ob für Webseiten, Webanwendungen, E-Mail-Server oder interne Unternehmenssysteme – SSL/TLS sorgt für Verschlüsselung, Integrität und Authentizität. Doch häufig entsteht beim Umgang mit Zertifikaten Verwirrung, wenn es um die verschiedenen Dateiformate geht.

Welche Datei-Endung bedeutet was? Wie unterscheiden sich .pem, .pfx oder .p7b? Und welches Format wird in welcher Systemumgebung benötigt? Genau darauf geben wir in diesem Beitrag eine umfassende Antwort – inklusive praktischer Konvertierungshilfen.

Was ist ein SSL-Zertifikat überhaupt?

Ein SSL-Zertifikat (Secure Sockets Layer bzw. heute: TLS – Transport Layer Security) dient dazu, die Verbindung zwischen einem Client (z. B. Browser) und einem Server (z. B. Webserver) zu verschlüsseln. Gleichzeitig garantiert es, dass der Server derjenige ist, für den er sich ausgibt – und dass keine Dritten die Verbindung manipulieren können.

Ein Zertifikat besteht aus:

  • Dem öffentlichen Schlüssel (Public Key)
  • Informationen zum Inhaber, Gültigkeit, Aussteller
  • Signatur der ausstellenden Zertifizierungsstelle (CA)
  • Optional: Zwischenzertifikate und Root-Zertifikate zur Vertrauenskette

Doch all diese Daten müssen in einem geeigneten Format gespeichert werden – und hier kommt es auf das richtige Dateiformat an.

Die wichtigsten SSL-Zertifikat-Formate im Überblick

Es gibt mehrere etablierte Standards, die in unterschiedlichen Systemen und Anwendungsfällen zum Einsatz kommen. Im Wesentlichen sind das:

1. PEM (.pem / .crt / .cer / .key)

Das Privacy Enhanced Mail (PEM)-Format ist eines der am weitesten verbreiteten SSL-Formate. Es wird hauptsächlich in Unix- und Linux-Umgebungen eingesetzt (Apache, NGINX, Postfix, Dovecot, etc.). Es ist Base64-kodiert und in der Regel mit einem -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- umrahmt.

PEM-Dateien können enthalten:

  • Ein einzelnes Zertifikat (öffentlicher Schlüssel)
  • Den privaten Schlüssel
  • Die gesamte Zertifikatskette (CA-Zertifikate)

Wichtig: Viele Hosting-Anbieter verlangen die PEM-Variante bei manuellen Zertifikat-Installationen.

PEM in PKCS#12 (.pfx) konvertieren
PEM in PKCS#7 (.p7b) konvertieren
PEM in DER Format konvertieren

2. PKCS#12 (.pfx / .p12)

Das Public-Key Cryptography Standards #12 (PKCS#12)-Format – auch bekannt als PFX – ist besonders beliebt in Windows-Umgebungen, bei Microsoft Exchange, IIS oder Outlook. Im Gegensatz zu PEM kann PKCS#12 mehrere Inhalte in einer einzigen Datei bündeln:

  • Zertifikat
  • Zwischenzertifikate / Zertifikatskette
  • Privater Schlüssel
  • Optional: Passwörter zur Absicherung

Das Format ist binär codiert, nicht direkt lesbar, aber universell einsetzbar – insbesondere wenn das Zertifikat samt Key und CA-Bundle auf einem System importiert werden soll.

PFX in PEM konvertieren

Hinweis: Einige Anwendungen – z. B. Java Keystores – erfordern manchmal explizite Trennung der Bestandteile (z. B. mit OpenSSL), was bei PFX leicht möglich ist.

3. PKCS#7 (.p7b / .p7c)

Dieses Format ist ebenfalls ein offizieller Kryptografie-Standard und vor allem in Java-Umgebungen (Tomcat, JBoss, etc.) sowie bei bestimmten Microsoft-Produkten gebräuchlich. PKCS#7 speichert ausschließlich die Zertifikatskette, jedoch nicht den privaten Schlüssel.

Es ist entweder Base64 (p7b) oder binär (p7c) kodiert und eignet sich gut, wenn der Key bereits separat im System vorhanden ist. Typisch ist die Nutzung in Verbindung mit einem Java KeyStore oder Microsoft MMC.

PEM in P7B konvertieren

Warum muss man SSL-Zertifikate konvertieren?

Nicht jede Plattform arbeitet mit denselben Formaten. Während Apache ein .crt und .key erwartet, nutzt ein Windows-Server lieber .pfx, ein Tomcat .p7b. Viele CAs stellen ihre Zertifikate in PEM aus – was häufig zu Kompatibilitätsproblemen führt.

Die Konvertierung ist technisch nicht schwer – vorausgesetzt, man kennt die richtigen Tools und Schritte. Meist kommt OpenSSL zum Einsatz. Für häufige Fälle haben wir Ihnen eigene Schritt-für-Schritt-Anleitungen bereitgestellt:

Tools und Hilfsmittel für die Umwandlung

Für die Umwandlung von SSL-Zertifikaten empfehlen wir:

  • OpenSSL: Der Open-Source-Standard für Kryptografie auf der Kommandozeile
  • Windows-Zertifikatsspeicher (MMC): Für einfache Importe/Exporte von PFX
  • KeyTool (Java): Für P7B-Importe in JKS/PKCS12
  • SpeedIT Online-Wissensdatenbank: Mit konkreten Befehlen und Beispielen aus der Praxis

Typische Fehlerquellen bei der Zertifikatseinbindung

Trotz hochwertiger Zertifikate kann die Einbindung fehlschlagen – oft liegt es am falschen Format oder an fehlenden Bestandteilen:

  • Privater Schlüssel fehlt: Einige CAs stellen nur das öffentliche Zertifikat aus. Der private Key liegt lokal – dieser darf niemals weitergegeben werden.
  • CA-Bundle nicht eingebunden: Ohne Zwischenzertifikate erkennen manche Browser das Zertifikat nicht als gültig.
  • Falsches Format gewählt: z. B. .pfx auf Apache oder .pem auf Microsoft – führt zu Lesefehlern.
  • Fehlerhafte Konvertierung: Unsachgemäß erstellte PFX-Dateien können inkompatibel sein oder zu Abstürzen führen.

Sicherheit beim Umgang mit SSL-Dateien

Ein SSL-Zertifikat ist öffentlich – doch der private Schlüssel muss streng geschützt werden. Achten Sie darauf:

  • Niemals unverschlüsselt per E-Mail zu versenden
  • Keine Speicherung in geteilten Cloud-Verzeichnissen
  • Backup nur verschlüsselt mit starkem Passwort
  • Zugriffsrechte serverseitig einschränken (chmod 600)

PFX-Dateien sollten beim Export immer mit einem sicheren Passwort geschützt sein. Das erhöht die Sicherheit zusätzlich und verhindert unbefugten Import auf andere Systeme.

Fazit: Das richtige SSL-Zertifikatsformat ist entscheidend

Wer sich intensiver mit Servern, Webhosting oder Unternehmens-IT beschäftigt, wird früher oder später mit SSL-Zertifikaten in Berührung kommen. Die Wahl des richtigen Formats entscheidet oft über eine erfolgreiche Integration oder stundenlanges Debugging.

Dank unserer Anleitungen und Konvertierungsartikel sind Sie bestens vorbereitet, um jede Anforderung sicher umzusetzen. Sollten Sie dennoch Fragen haben, steht unser Team gern beratend zur Seite – persönlich, kompetent und DSGVO-konform.

Jetzt mehr über unsere SSL-Produkte erfahren oder direkt Kontakt aufnehmen.

Single Domain SSL   WildCard SSL

 

Zurück zur Startseite

Professionelle Betreuung
für Agenturen

Agenturpartner werden
© 2009-2025 SpeedIT Solutions - Cloud-Hosting & E-Commerce vom Profi! - Made with ❤ and ☕ in Isernhagen - Germany

* Preis inkl. deutscher MwSt. der Gesamtpreis ist abhängig vom Mehrwertsteuersatz des Lieferlandes.