V aplikačnom serveri sa po inštalácii vygeneruje tzv. self-signed certifikát, inak nazývaný certifikát podpísaný sám sebou. Na tento certifikát upozorňuje prehliadač. Je možné ho vymeniť za vlastný certifikát.
Certifikát musí spĺňať niekoľko požiadaviek:
Musí byť vo formáte PEM
V súbore musí byť ako verejná časť (certifikát), tak aj súkromná časť (kľúč).
Kľúč musí byť vo formáte PKCS#1 alebo PKCS#8 a môže byť v otvorenej alebo šifrovanej podobe. To znamená, že PEM súbor musí obsahovať sekciu uvedenú niektorou z nasledujúcich hlavičiek:
BEGIN RSA PRIVATE KEY,BEGIN PRIVATE KEY,BEGIN ENCRYPTED PRIVATE KEY.
V súbore musí byť celý reťazec certifikátov (chain). Tj. aj certifikát koreňovej autority.
Po nahratí je potrebné reštartovať aplikačný server.
Nahratie prebehne na adresu https://server:5434/certificate.json?password=abc. Certifikát musí byť buď bez hesla (v takom prípade možno vynechať parameter password), alebo musí mať heslo uvedené v parametri.
V databáze je certifikát uložený bez hesla.
Pozor: v cloude nie je možné meniť certifikát (aj keď príkaz prebehne úspešne). V budúcnosti nasadíme SNI, ale jeho podpora je stále problematická.
Ukážka príkazu pre CURL:
curl -X PUT -u jmeno:heslo -k -L -T domena.eu.pem https://localhost:5434/certificate.json
V príkaze zadajte meno a heslo používateľa ABRA Flexi, ktorý musí mať práva ADMIN, vrátane práva servera – Spravovať licencie (nestačí používateľská rola ADMIN). Viac o právach sa dozviete v článku Ako pracovať s používateľmi.
Poznámka: SSL certifikát je možné meniť iba s aktívnou službou API.