soporte / ssl

Como convertir archivo .pem para instalar su certificado TLS/SSL

¿Qué es un .pem concatenado?

Un .pem puede contener varios certificados en un solo archivo. Algunos servidores requieren que toda la cadena de confianza (certificado del dominio, intermedios y raíz) esté unificada en ese mismo archivo.



Antes de comenzar:

Verifique cuál o cuáles son los certificados intermedios correspondientes según el tipo de certificado que posee y el orden en el que debe incluirlos en el .pem.
Para poder armar su .pem deberá abrir los certificados recibidos en su .zip con un editor de texto. Puede hacerlo haciendo click derecho> abrir con > bloc de notas o Notepad++

Aquí podrá encontrar el nombre de cada .crt a incluir en su .pem de acuerdo a su tipo de certificado:

Certificados EV
  • RSA:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthentication CAEVR36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootR46.crt
  • Raíz: USERTrustRSACertificationAuthority.crt
  • ECC:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthentication CAEVE36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootE46.crt
  • Raíz: USERTrustECCCertificationAuthority.crt
Certificados OV
  • RSA:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthentication CAOVR36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootR46.crt
  • Raíz: USERTrustRSACertificationAuthority.crt
  • ECC:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthenticationCAOVE36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootE46.crt
  • Raíz: USERTrustECCCertificationAuthority.crt
Certificados DV
  • RSA:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthenticationCADVR36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootR46.crt
  • Raíz: USERTrustRSACertificationAuthority.crt
  • ECC:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthenticationCADVE36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootE46.crt
  • Raíz: USERTrustECCCertificationAuthority.crt
Para certificados emitidos con la raíz anterior (desde Mayo 2020 hasta Abril 2025) estos serán los nombres de los .crt y el orden a pegar en su .pem
Certificados EV
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoRSAExtendedValidationSecureServerCA.crt
  • Intermedio 2: USERTrustRSA-AAACA-xSign.crt
  • Raíz: AAACertificateServices.crt
Certificados OV
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoRSAOrganizationValidationSecureServerCA.crt
  • Intermedio 2: USERTrustRSA-AAACA-xSign.crt
  • Raíz: AAACertificateServices.crt
Certificados DV
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoRSADomainValidationSecureServerCA.crt
  • Intermedio 2: USERTrustRSA-AAACA-xSign.crt
  • Raíz: AAACertificateServices.crt

  1. Una vez emitido su certificado recibirá el mismo en formato .zip , junto a los certificado/s intermedio/s y la raíz.

    • Certificado de dominio: su_dominio.crt
    • Intermedio(s): intermedio.crt (puede haber más de uno, verifique los nombres y el orden) .
    • Raíz raiz.crt


  2. Abra un editor de texto (Bloc de notas o Notepad++ por ejemplo) y pegue el contenido completo (pegar exactamente, incluyendo las líneas BEGIN/END) de cada certificado en un solo archivo de texto en el siguiente orden:

    1. Certificado de dominio (su_dominio.crt)
    2. Intermedio(s) (intermedio.crt) (puede haber más de uno, verifique los nombres y el orden) .
    3. Raíz (raiz.crt)

  3. Guarde como su_dominio.pem.

Nota: Algunos servidores requieren el orden inverso (Raíz → Intermedio/s → Cert. de dominio). Verificar la documentación antes de instalar su certificado. 
-----BEGIN CERTIFICATE-----
... (Certificado de dominio: su_dominio.crt) ...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
... (Certificado/s intermedio/s: intermedio.crt) ...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
... (Certificado raíz: raiz.crt) ...
-----END CERTIFICATE-----

  1. Una vez emitido su certificado recibirá el mismo en formato .zip, junto a los certificado/s intermedio/s y la raíz.

    • Certificado de dominio: su_dominio.crt
    • Intermedio(s): intermedio.crt (puede haber más de uno, verifique los nombres y el orden)
    • Raíz: raiz.crt


  2. Abra un editor de texto (Bloc de notas o Notepad++ por ejemplo) y pegue el contenido completo (pegar exactamente, incluyendo las líneas BEGIN/END) de cada certificado en un solo archivo de texto en el siguiente orden:

    1. Certificado de dominio (su_dominio.crt)
    2. Intermedio(s) (intermedio.crt) (puede haber más de uno, verifique los nombres y el orden)

  3. Guarde como su_dominio.pem 
-----BEGIN CERTIFICATE-----
... (Certificado de dominio: su_dominio.crt) ...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
... (Certificado/s intermedio/s: intermedio.crt) ...
-----END CERTIFICATE-----

  1. Una vez emitido su certificado recibirá el mismo en formato .zip , junto a los certificado/s intermedio/s y la raíz.

    • Certificado de dominio: su_dominio.crt
    • Intermedio(s): intermedio.crt (puede haber más de uno, verifique los nombres y el orden) .
    • Raíz raiz.crt


  2. Abra un editor de texto (Bloc de notas o Notepad++ por ejemplo) y pegue el contenido completo (pegar exactamente, incluyendo las líneas BEGIN/END) de cada certificado en un solo archivo de texto en el siguiente orden:

    1. Su llave privada( su_key.key )
    2. Certificado de dominio (su_dominio.crt)
    3. Intermedio(s) (intermedio.crt) (puede haber más de uno, verifique los nombres y el orden) .
    4. Raíz (raiz.crt)
  3. Guarde como su_dominio.pem y proteja el archivo (permisos 600 en Linux).
-----BEGIN RSA PRIVATE KEY-----
... (Su clave privada: su_key.key) ...
-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----
... (Certificado de dominio: su_dominio.crt) ...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
... (Certificado/s intermedio/s: intermedio.crt) ...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
... (Certificado raíz: raiz.crt) ...
-----END CERTIFICATE-----
Precaución: manejar la clave privada con seguridad. No suba archivos con la clave a repositorios públicos.


Información sobre formatos de certificados

  • Nota: El formato PEM es el más común para los certificados. Las extensiones utilizadas son .cer, .crt y .pem. Son archivos ASCII codificados en Base64.
  • El formato DER es binario y no contiene las líneas BEGIN CERTIFICATE / END CERTIFICATE. Extensión: .der.
  • PKCS#7 / P7B se almacena en Base64, solo contiene certificados y CA intermedias.
  • PKCS#12 / PFX es binario y puede contener certificado, intermedios y clave privada. Extensiones: .pfx, .p12.

    • Método OpenSSL:

    openssl x509 -in nombredelcertificado.cer -outform PEM -out nombredelcertificado.pem

    Método manual (Bloc de notas o Notepad++):

    1. Abra nombredelcertificado.cer con Bloc de notas o Notepad++.
    2. Copie todo el bloque -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----.
    3. Péguelo en un nuevo archivo y guárdelo como nombredelcertificado.pem.

    Método OpenSSL:

    openssl x509 -outform der -in nombredelcertificado.pem -out nombredelcertificado.der

    Método manual:

    No se recomienda para DER, ya que es binario. Use OpenSSL.

    Método OpenSSL:

    openssl x509 -inform der -in nombredelcertificado.der -out nombredelcertificado.pem

    Método manual:

    No aplicable (DER es binario).

    Método OpenSSL:

    openssl crl2pkcs7 -nocrl -certfile nombredelcertificado.pem -out nombredelcertificado.p7b -certfile CACert.cer

    Método manual:

    Cree un archivo de texto con los certificados necesarios y guárdelo con extensión .p7b. Debe incluir **solo certificados**, no la clave privada.

    Método OpenSSL:

    openssl pkcs7 -print_certs -in nombredelcertificado.p7b -out nombredelcertificado.pem

    Método manual:

    Abra el P7B con un editor compatible (p.ej. Bloc de notas o Notepad++), copie los bloques de certificados y guárdelos con extensión .pem.

    Método OpenSSL:

    openssl pkcs12 -in nombredelcertificado.pfx -out nombredelcertificado.pem

    Método manual:

    No recomendable, PFX contiene clave privada y binario; use OpenSSL.

    PASO 1: Convertir PFX a PEM

    openssl pkcs12 -in nombredelcertificado.pfx -nocerts -nodes -out nombredelcertificado.pem

    PASO 2: Convertir PEM a PKCS8

    openssl pkcs8 -in nombredelcertificado.pem -topk8 -nocrypt -out nombredelcertificado.pk8

    Método manual:

    No recomendable, PKCS#8 requiere OpenSSL.

    PASO 1: Convertir P7B a CER

    openssl pkcs7 -print_certs -in nombredelcertificado.p7b -out nombredelcertificado.cer

    PASO 2: Convertir CER y clave privada a PFX

    openssl pkcs12 -export -in nombredelcertificado.cer -inkey claveprivada.key -out nombredelcertificado.pfx -certfile cacert.cer

    Método manual:

    No recomendable, PFX es binario y contiene clave privada.