V aplikačním serveru se po instalaci vygeneruje tzv. self-signed certifikát neboli certifikát podepsaný sám sebou. Na tento certifikát upozorňuje prohlížeč. Je možné, jej vyměnit za vlastní certifikát.
Certifikát musí splňovat několik požadavků:
- Musí být ve formátu PEM
- V souboru musí být jak veřejná část (certifikát) tak i soukromá část (klíč).
- Klíč musí být ve formátu PKCS#1 (začíná BEGIN RSA PRIVATE KEY). Pokud máte klíč ve formátu PKCS#8 (začíná BEGIN PRIVATE KEY),
převeďte si klíč do formátu PKCS#1 příkazemopenssl rsa -in klic.pem -out klic2.pem
. - V souboru musí být celý řetězec certifikátů (chain). Tj. i certifikát kořenové autority.
- Po nahrání je potřeba restartovat aplikační server.
Nahrání proběhne na adresu https://server:5434/certificate?password=abc
. Certifikát musí být buď bez hesla (pak lze vynechat parametr password) a nebo musí mít heslo uvedené v parametru.
V databázi je pak certifikát uložen bez hesla.
Pozor: v cloudu nelze měnit certifikát (i když příkaz uspěje). Časem nasadíme SNI, ale jeho podpora je stále problematická.
Ukázka příkazu pro CURL:
curl -X PUT -u jmeno:heslo -k -L -T domena.eu.pem https://localhost:5434/certificate