Przejdź do treści
Bezpieczne płatności 5000+ klientów
2SECURE
Zacznij pisać aby wyszukać (min. 2 znaki)
Ładowanie…

Konwertuj certyfikat

Konwertuj certyfikat między formatami PEM, DER, P7B i PFX

Kiedy musisz zmienić format certyfikatu?

Urząd certyfikacji (np. Certum, DigiCert) wydaje certyfikat SSL najczęściej w formacie PEM. Jednak różne serwery i aplikacje wymagają różnych formatów tego samego certyfikatu. Nasz konwerter online pozwala w kilka sekund zmienić PEM, DER, PKCS#7 lub PKCS#12 na dowolny inny format — bez instalowania dodatkowego oprogramowania.

Zmieniasz serwer

Certyfikat z Linuxa (PEM) przenosisz na Windows Server, który wymaga PFX z kluczem prywatnym.

Instalujesz na panelu hostingu

Home.pl, cPanel, DirectAdmin — każdy ma swoje wymagania (PEM, CRT lub PFX).

Importujesz do IIS / Tomcat

Microsoft IIS wymaga PFX (.pfx / .p12), a Java Tomcat wspiera P7B lub JKS.

Rozpakowujesz plik PFX

Masz .pfx od administratora, potrzebujesz certyfikatu i klucza osobno (format PEM).

* pola wymagane

Jak skonwertować certyfikat SSL — 4 proste kroki

Nie musisz znać się na kryptografii. Wystarczy, że wiesz jaki format masz teraz i jaki jest Ci potrzebny.

1
Krok 1

Wybierz formaty

Kliknij kafelek z aktualnym formatem po lewej (np. PEM) i docelowym po prawej (np. PFX). Formularz dostosuje się automatycznie — pojawią się pola wymagane dla danej konwersji.

2
Krok 2

Wgraj pliki

Kliknij "Wybierz plik" i wskaż certyfikat. Jeśli konwertujesz do PFX — dodaj też klucz prywatny. Opcjonalnie możesz dołączyć certyfikat pośredni (chain) — to ważne dla łańcucha zaufania.

3
Krok 3

Wpisz hasła

Format PFX wymaga hasła do zaszyfrowania pliku. Jeśli konwertujesz z PFX — podaj hasło, którym chronione jest źródło. Hasło do klucza prywatnego jest opcjonalne.

4
Krok 4

Pobierz wynik

Kliknij "Konwertuj certyfikat". W ciągu sekundy pojawi się przycisk "Pobierz" — gotowy plik w nowym formacie, z poprawnym rozszerzeniem (.pem, .der, .p7b lub .pfx).

4 formaty certyfikatów SSL — który wybrać?

Każdy format ma swoje zastosowanie. Poniżej opisujemy kiedy i gdzie ich używać, jakie mają rozszerzenia plików i co zawierają.

Format PEM (Privacy Enhanced Mail)

.pem .crt .cer .key

Najpopularniejszy format certyfikatów SSL. Plik tekstowy w kodowaniu Base64, rozpoznawany po charakterystycznych nagłówkach -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----. Możesz go otworzyć w zwykłym Notatniku i zobaczyć jego zawartość.

Gdzie używany:
Apache HTTP Server, Nginx, Lighttpd, HAProxy, większość serwerów Linux, OpenSSL, cPanel, DirectAdmin, Plesk, Postfix, Dovecot.
Co zawiera:
Pojedynczy certyfikat LUB bundle (certyfikat + łańcuch CA). Klucz prywatny trzymany jest w osobnym pliku .key.

Format DER (Distinguished Encoding Rules)

.der .cer

Binarna wersja certyfikatu. To dokładnie ta sama informacja co w PEM, ale zapisana w postaci binarnej zamiast Base64. Dzięki temu plik jest mniejszy, ale nie da się go przeczytać w edytorze tekstu. DER nie ma nagłówków BEGIN/END.

Gdzie używany:
Platformy Java (Tomcat, JBoss, WebLogic), niektóre urządzenia sieciowe (Cisco, F5), aplikacje mobilne (Android), smart karty, tokeny HSM.
Co zawiera:
Tylko pojedynczy certyfikat — bez łańcucha CA, bez klucza prywatnego. Nie wspiera tzw. "bundles".

Format PKCS#7 / P7B

.p7b .p7c

Format "kontenerowy" łączący kilka certyfikatów w jednym pliku. Zawiera certyfikat serwera wraz z całym łańcuchem certyfikatów pośrednich (intermediate CA). Dzięki temu nie musisz ładować chain osobno. Nie zawiera klucza prywatnego — nadaje się więc do bezpiecznego przesyłania certyfikatów.

Gdzie używany:
Microsoft Windows Server (IIS), Java Tomcat, niektóre urządzenia sieciowe. Windows traktuje plik .p7b jako importowalny do magazynu certyfikatów.
Co zawiera:
Certyfikat serwera + certyfikaty pośrednie (intermediate CA) + opcjonalnie root CA. Bez klucza prywatnego.

Format PKCS#12 / PFX (Personal Information Exchange)

.pfx .p12

Najbardziej kompletny format — certyfikat + łańcuch + klucz prywatny w jednym pliku. Wszystko jest dodatkowo chronione hasłem. To główny format używany przez systemy Microsoft — zarówno do importu certyfikatu do IIS, jak i do eksportu certyfikatu wraz z kluczem (np. do backupu albo migracji).

Gdzie używany:
Windows Server (IIS), Exchange Server, ActiveSync, Remote Desktop Services, niektóre rozwiązania VPN (SSL VPN, OpenVPN), tokeny sprzętowe.
Co zawiera:
Certyfikat + łańcuch CA + klucz prywatny — wszystko zaszyfrowane hasłem. Dzięki temu można bezpiecznie przenosić komplet przez Internet.

Porównanie formatów SSL — szybka ściąga

Nie wiesz który format wybrać? Spójrz na tabelę i znajdź swoją platformę.

Format Typ pliku Klucz prywatny Łańcuch CA Typowe zastosowanie
PEM Tekstowy (Base64) osobny plik .key Apache, Nginx, Linux
DER Binarny osobny plik .key Java, urządzenia sieciowe
PKCS#7 / P7B Binarny (lub tekst) Windows IIS, Tomcat
PKCS#12 / PFX Binarny (zaszyfrowany) Windows Server, IIS, Exchange

Najczęściej zadawane pytania

Odpowiedzi na typowe wątpliwości dotyczące konwersji certyfikatów SSL.

Jaki format certyfikatu wybrać dla mojego serwera?

Wybór formatu zależy od tego, na czym hostujesz swoją stronę:

  • Apache, Nginx, Linux → użyj formatu PEM (najczęściej z rozszerzeniem .crt + osobny plik .key z kluczem prywatnym)
  • Microsoft IIS (Windows Server) → użyj PFX (.pfx) — zawiera wszystko w jednym, zaszyfrowanym hasłem
  • Java Tomcat, JBoss → możesz użyć PKCS#7 (P7B) lub konwersji do JKS
  • Panele hostingu (cPanel, DirectAdmin, Plesk) → najczęściej wymagają PEM, ale sprawdź dokumentację hostingodawcy
Czy konwersja certyfikatu zmienia datę ważności lub bezpieczeństwo?

Nie. Konwersja to jedynie zmiana sposobu zapisu tych samych danych — tak jak przepisanie tego samego tekstu w inny sposób. Data ważności, nazwa domeny (CN), klucz publiczny, podpis urzędu certyfikacji — wszystko pozostaje identyczne. Certyfikat po konwersji jest w 100% równoważny oryginałowi i cały czas jest ważny do swojej pierwotnej daty wygaśnięcia.

Co zrobić, jeśli zapomniałem hasła do PFX?

Niestety, hasła do PFX nie da się odzyskać ani złamać — to celowe zabezpieczenie kryptograficzne. Jeśli zapomniałeś hasła, musisz ponownie wygenerować certyfikat (re-issue) u swojego urzędu certyfikacji. W większości przypadków re-issue jest darmowy w ramach aktywnego certyfikatu. Jeśli masz certyfikat Certum zakupiony u nas — napisz na kontakt@2secure.pl, pomożemy Ci bezpłatnie przeprowadzić re-issue.

Czym różni się PEM od CRT? Czy to to samo?

Tak, to najczęściej ten sam format z różną nazwą pliku. PEM to nazwa formatu kodowania (tekst Base64 z nagłówkami BEGIN/END), a .crt to tylko rozszerzenie pliku. Plik .crt może być zapisany w formacie PEM lub DER — musisz spojrzeć do środka. Jeśli widzisz -----BEGIN CERTIFICATE-----, to jest PEM. Jeśli widzisz "krzaki" (bajty binarne), to DER.

Czy mogę utworzyć plik PFX bez klucza prywatnego?

Nie — sens formatu PFX polega właśnie na łączeniu certyfikatu z kluczem prywatnym. Jeśli nie masz klucza prywatnego, użyj formatu PKCS#7 / P7B — to też "kontener" łączący certyfikat z łańcuchem CA, ale bez klucza. Jest doskonały do przesyłania certyfikatów (np. wysłania administratorowi, który sam ma klucz po swojej stronie).

Czy Wasz konwerter zapisuje mój klucz prywatny?

Nie. Klucz jest przetwarzany wyłącznie w pamięci RAM podczas jednej konwersji, a następnie natychmiast usuwany. Nie zapisujemy go na dysk, nie logujemy, nie wysyłamy do żadnych usług zewnętrznych. Cała operacja trwa ułamek sekundy i odbywa się na szyfrowanym połączeniu HTTPS. Jeśli chcesz dodatkowego bezpieczeństwa — skorzystaj z komend openssl bezpośrednio na swoim serwerze (poniżej). Klucz wtedy w ogóle nie opuszcza Twojego systemu.

Jakie powinno być hasło do PFX? Jak mocne?

Hasło PFX chroni Twój klucz prywatny, więc powinno być solidne — minimum 12 znaków, mieszając wielkie i małe litery, cyfry oraz znaki specjalne. Najlepiej wygenerować je menedżerem haseł (Bitwarden, 1Password, KeePass). Pamiętaj: hasła PFX nie da się odzyskać, więc zapisz je w bezpiecznym miejscu. Jeśli wysyłasz plik PFX komuś — hasło przekaż innym kanałem niż sam plik (np. SMS-em, Signalem).

Bezpieczeństwo Twoich danych

Rozumiemy, że certyfikaty i klucze prywatne to wrażliwe dane. Dlatego nasz konwerter został zaprojektowany z myślą o maksymalnej prywatności:

  • Połączenie HTTPS — całość transmisji zaszyfrowana (TLS 1.3).
  • Zero zapisu na dysk — dane przetwarzane wyłącznie w pamięci RAM serwera, od razu usuwane.
  • Zero logów wrażliwych — w logach zostaje tylko czas i adres IP (dla bezpieczeństwa), bez treści plików.
  • Infrastruktura w Polsce — dane przetwarzane w polskim data center, zgodnie z RODO.
  • Alternatywa offline — poniżej znajdziesz komendy openssl, które wykonasz lokalnie bez kontaktu z naszym serwerem.
Wszystkie komendy openssl
Pełna lista konwersji dla 12 kierunków

Używamy cookies

Niezbędne cookies są zawsze włączone. Dodatkowo używamy cookies analitycznych (Google Analytics) i marketingowych — ale tylko za Twoją zgodą. Szczegóły w Polityce cookies.

Ustawienia cookies

Niezbędne Wymagane
Sesja, koszyk, logowanie. Bez nich strona nie zadziała.