V aplikačním serveru se po instalaci vygeneruje tzv. self-signed certifikát neboli certifikát podepsaný sám sebou. Na tento certifikát upozorňuje prohlížeč. Je možné, jej vyměnit za vlastní certifikát.
Certifikát musí splňovat několik požadavků:
Musí být ve formátu PEM
V souboru musí být jak veřejná část (certifikát) tak i soukromá část (klíč).
Klíč musí být ve formátu PKCS#1 nebo PKCS#8 a může být v otevřené nebo šifrované podobě. To znamená, že PEM soubor musí obsahovat sekci uvozenou některou z následujících hlaviček:
BEGIN RSA PRIVATE KEY,BEGIN PRIVATE KEY,BEGIN ENCRYPTED PRIVATE KEY.
V souboru musí být celý řetězec certifikátů (chain). Tj. i certifikát kořenové autority.
Po nahrání je potřeba restartovat aplikační server.
Nahrání proběhne na adresu https://server:5434/certificate.json?password=abc. Certifikát musí být buď bez hesla (pak lze vynechat parametr password) a nebo musí mít heslo uvedené v parametru.
V databázi je pak certifikát uložen bez hesla.
Pozor: v cloudu nelze měnit certifikát (i když příkaz uspěje). Časem nasadíme SNI, ale jeho podpora je stále problematická.
Ukázka příkazu pro CURL:
curl -X PUT -u jmeno:heslo -k -L -T domena.eu.pem https://localhost:5434/certificate.json
V příkazu zadejte jméno a heslo uživatele ABRA Flexi, který musí mít ADMIN práva, včetně práva serveru - Spravovat licence. Více o právech se dozvíte v článku Jak pracovat s uživateli.