V aplikačním serveru se po instalaci vygeneruje tzv. self-signed certifikát neboli certifikát podepsaný sám sebou. Na tento certifikát upozorňuje prohlížeč. Je možné, jej vyměnit za vlastní certifikát.

Certifikát musí splňovat několik požadavků:

  • Musí být ve formátu PEM.
  • V souboru musí být jak veřejná část (certifikát) tak i soukromá část (klíč).
  • Klíč musí být ve formátu PKCS#1 nebo PKCS#8 a může být v otevřené nebo šifrované podobě. To znamená, že PEM soubor musí obsahovat sekci uvozenou některou z následujících hlaviček:
    • BEGIN RSA PRIVATE KEY,
    • BEGIN PRIVATE KEY,
    • BEGIN ENCRYPTED PRIVATE KEY.
  • V souboru musí být celý řetězec certifikátů (chain). Tj. i certifikát kořenové autority.
  • Po nahrání je potřeba restartovat aplikační server.

Nahrání proběhne na adresu https://server:5434/certificate?password=abc. Certifikát musí být buď bez hesla (pak lze vynechat parametr password) a nebo musí mít heslo uvedené v parametru.

V databázi je pak certifikát uložen bez hesla.

Pozor: v cloudu nelze měnit certifikát (i když příkaz uspěje). Časem nasadíme SNI, ale jeho podpora je stále problematická.

Ukázka příkazu pro CURL:

curl -X PUT -u jmeno:heslo -k -L -T domena.eu.pem https://localhost:5434/certificate