Výměna SSL certifikátu

SSL certifikát a jeho změna přes REST API

Ota Rádl avatar
Autor: Ota Rádl
Aktualizováno před více než týdnem

V aplikačním serveru se po instalaci vygeneruje tzv. self-signed certifikát neboli certifikát podepsaný sám sebou. Na tento certifikát upozorňuje prohlížeč. Je možné, jej vyměnit za vlastní certifikát.

Certifikát musí splňovat několik požadavků:

  • Musí být ve formátu PEM

  • V souboru musí být jak veřejná část (certifikát) tak i soukromá část (klíč).

  • Klíč musí být ve formátu PKCS#1 nebo PKCS#8 a může být v otevřené nebo šifrované podobě. To znamená, že PEM soubor musí obsahovat sekci uvozenou některou z následujících hlaviček:

    • BEGIN RSA PRIVATE KEY,

    • BEGIN PRIVATE KEY,

    • BEGIN ENCRYPTED PRIVATE KEY.

  • V souboru musí být celý řetězec certifikátů (chain). Tj. i certifikát kořenové autority.

  • Po nahrání je potřeba restartovat aplikační server.

Nahrání proběhne na adresu https://server:5434/certificate.json?password=abc. Certifikát musí být buď bez hesla (pak lze vynechat parametr password) a nebo musí mít heslo uvedené v parametru.

V databázi je pak certifikát uložen bez hesla.

Pozor: v cloudu nelze měnit certifikát (i když příkaz uspěje). Časem nasadíme SNI, ale jeho podpora je stále problematická.

Ukázka příkazu pro CURL:

curl -X PUT -u jmeno:heslo -k -L -T domena.eu.pem https://localhost:5434/certificate.json

V příkazu zadejte jméno a heslo uživatele ABRA Flexi, který musí mít ADMIN práva, včetně práva serveru - Spravovat licence. Více o právech se dozvíte v článku Jak pracovat s uživateli.

Dostali jste odpověď na svou otázku?