Let’s Encrypt giúp bạn dễ dàng tạo và cài đặt chứng chỉ SSL miễn phí bằng ứng dụng khách certbot ACME trên máy chủ web. Nhưng nếu bạn muốn dùng ssl cho subdomain mà không cần phải tạo certificate nhiều lần cho mỗi subdomain thì bạn làm như thế nào?
Hôm nay mình chia sẻ các bạn cách đơn giản để làm điều này với Cloudflare & Docker .
Cách mà challenge DNS hoạt động với certbot
Bạn tham khảo tài liệu certbot giải thích về điều này rõ hơn,và mình tóm lại các bước challenge như sau:
- Certbot yêu cầu chứng chỉ từ máy chủ Let’s Encrypt
- Máy chủ Let’s Encrypt trả về nội dung challenge
- Plugin tạo bản ghi DNS TXT chứa nội dung challenge
- Máy chủ Let’s Encrypt xác thực bản ghi DNS TXT
- Máy chủ Let’s Encrypt cấp chứng chỉ
Chuẩn bị cloudflare và docker
Ở đây, mình sử dụng Cloudflare làm nhà cung cấp DNS và mình sẽ tạo chứng chỉ cho domain test là tova17.site. Các bạn chuẩn bị 1 vps hoặc máy tính cá nhân có cài đặt Docker
Các bước thực hiện
Đầu tiên tạo các thư mục sau trên VPS:
sudo mkdir /etc/letsencrypt
sudo mkdir /var/lib/letsencrypt
Tạo một Cloudflare credentials Các bạn phải có một tài khoản Cloudflare và trỏ DNS về trên này nhé
Tạo một API token qua cloudflare dashboard. Edit zone DNS
Lưu token và tạo một file cloudflare.ini
vi /etc/letsencrypt/cloudflare.ini
Điền nội dung như sau
# Cloudflare API token used by Certbot
dns_cloudflare_api_token = 0123456789abcdef0123456789abcdef01234567
Lưu lại và thoát
Tiếp theo bạn chạy docker để cấp tạo certificate cho subdomain *.tova17.site
docker run -it --rm --name certbot \ -v "/etc/letsencrypt:/etc/letsencrypt" \ -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \ certbot/dns-cloudflare \ certonly --dns-cloudflare \ --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \ -d *.tova17.site
Khi chạy sẽ hỏi phần thông tin các bạn nhập email và chọn Y các câu hỏi như các bước bạn tạo certificate với Letsencrypt.
Tất các các file cert sẽ lưu tại /etc/letsencrypt/live/$domain
Bây giờ các bạn dùng subdomain SSL mà không cần tạo certificate cho từng subdomain rồi.
Lưu ý: Letsencrypt certificate sẽ hết hạn trong 3 tháng do đó bạn cần tạo 1 shedule để tự động renew các bạn nhé
Follow các kênh mình chia sẻ
Các bạn tham khảo video