Výměna SSL certifikátu

V aplikačním serveru se po instalaci vygeneruje tzv. self-signed certifikát neboli certifikát podepsaný sám sebou. Na tento certifikát upozorňuje prohlížeč. Je možné, jej vyměnit za vlastní certifikát.

Certifikát musí splňovat několik požadavků:

  • Musí být ve formátu PEM
  • V souboru musí být jak veřejná část (certifikát) tak i soukromá část (klíč).
  • Klíč musí být ve formátu PKCS#1 (začíná BEGIN RSA PRIVATE KEY). Pokud máte klíč ve formátu PKCS#8 (začíná BEGIN PRIVATE KEY),
    převeďte si klíč do formátu PKCS#1 příkazem openssl rsa -in klic.pem -out klic2.pem.
  • V souboru musí být celý řetězec certifikátů (chain). Tj. i certifikát kořenové autority.
  • Po nahrání je potřeba restartovat aplikační server.

Nahrání proběhne na adresu https://server:5434/certificate?password=abc. Certifikát musí být buď bez hesla (pak lze vynechat parametr password) a nebo musí mít heslo uvedené v parametru.

V databázi je pak certifikát uložen bez hesla.

Pozor: v cloudu nelze měnit certifikát (i když příkaz uspěje). Časem nasadíme SNI, ale jeho podpora je stále problematická.

Ukázka příkazu pro CURL:

curl -X PUT -u jmeno:heslo -k -L -T domena.eu.pem https://localhost:5434/certificate