it:iot:certifikat-lets-encrypt-uzavrena-sit

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
it:iot:certifikat-lets-encrypt-uzavrena-sit [2024/12/22 13:05] Petr Nosekit:iot:certifikat-lets-encrypt-uzavrena-sit [2024/12/22 13:35] (aktuální) Petr Nosek
Řádek 54: Řádek 54:
   - Subdoména `teslamate.nosekpetr.cz` směruje na lokální IP adresu pomocí souboru `hosts` na klientech v síti.   - Subdoména `teslamate.nosekpetr.cz` směruje na lokální IP adresu pomocí souboru `hosts` na klientech v síti.
   - Pro ověření vlastnictví domény vytvoří Traefik pomocí DNS-01 challenge TXT záznam `_acme-challenge.teslamate.nosekpetr.cz` na Cloudflare.   - Pro ověření vlastnictví domény vytvoří Traefik pomocí DNS-01 challenge TXT záznam `_acme-challenge.teslamate.nosekpetr.cz` na Cloudflare.
-  - Let's Encrypt ověří záznam a vydá certifikát, který je uložen v Traefiku.+  - Let's Encrypt ověří záznam a vydá certifikát.
   - Certifikát je poté použit pro šifrovanou komunikaci na subdoméně v lokální síti.   - Certifikát je poté použit pro šifrovanou komunikaci na subdoméně v lokální síti.
  
 Tento přístup umožňuje provoz šifrovaných služeb v lokální síti bez nutnosti, aby byl server přímo dostupný z internetu. Tento přístup umožňuje provoz šifrovaných služeb v lokální síti bez nutnosti, aby byl server přímo dostupný z internetu.
  
 +
 +===== Převod domény ke Cloudflare =====
 +
 +<adm warning>Je důležité věnovat pozornost nastavení DNSSEC. Pokud je na doméně aktivní, je nutné jej nejprve vypnout a počkat alespoň 24 hodin, než provedete změny nameserverů a další konfigurace na Cloudflare.</adm>
 +
 +Rozhodl jsem se převést správu DNS záznamů na Cloudflare, protože Cloudflare nabízí API, které umožňuje automatizovat proces ověření pomocí DNS-01 challenge. Tento přístup eliminuje nutnost manuální správy TXT záznamů při každém ověření certifikátu.
 +
 +Mou doménu `nosekpetr.cz` mám registrovanou u českého registrátora, ale jednoduše jsem si nastavil, aby DNS záznamy spravoval Cloudflare. 
 +
 +{{:it:iot:pasted:20241222-142214.png}}
 +
 +Proces zahrnoval založení účtu na Cloudflare a využití funkce pro přidání existující domény. Cloudflare mi následně poskytl nové nameservery, které jsem nastavil v administraci u svého registrátora.
 +
 +
 +Po nastavení nameserverů jsem vyčkal 24 hodin, aby se změny plně projevily. Poté jsem mohl začít editovat DNS záznamy přímo v rozhraní Cloudflare.
 +
 +
 +
 +==== Získání API klíče od Cloudflare ====
 +
 +Inspiroval jsem se v [[http://https://www.altair.blog/2024/06/cloudflare-certbot|tomto návodu]]. Hezky je postup vysvětlený i na videu:
 +
 +{{youtube>pGrYUbgA7DQ?}}
 +
 +Nejprve je potřeba získat autentizační údaj, který umožní pracovat s konkrétní doménou (zónou). Cloudflare nabízí dva typy takových údajů:
 +
 +  * **API keys** – globální klíče, které lze použít ke všem operacím v rámci celého účtu na Cloudflare.  
 +  * **API tokens** – specifické tokeny s omezeným přístupem, které jsou navrženy pro konkrétní operace a domény (zóny).
 +
 +Pro naše účely zvolíme **tokeny**, protože nabízejí vyšší úroveň bezpečnosti. Tokeny umožňují přesně definovat, k jakým datům a operacím mají přístup, čímž výrazně snižují riziko zneužití.
 +
 +{{:it:iot:pasted:20241222-143226.png}}
 +
 +{{:it:iot:pasted:20241222-143232.png}}
 +
 +{{:it:iot:pasted:20241222-143237.png}}
 +
 +{{:it:iot:pasted:20241222-143242.png}}
 +
 +{{:it:iot:pasted:20241222-143255.png}}
 +
 +
 +Oproti návodu už nebudu pracovat s Certbotem, ale certifikáty obsloužím v [[it:server:traefik-reverzni-proxy|]].
  • it/iot/certifikat-lets-encrypt-uzavrena-sit.1734872721.txt.gz
  • Poslední úprava: 2024/12/22 13:05
  • autor: Petr Nosek