Skip to main content

Kỹ thuật tạo chứng chỉ SSL cho subdomain với Cloudflare & Docker

Let’s Encrypt giúp bạn dễ dàng tạo và cài đặt chứng chỉ SSL miễn phí bằng ứng dụng khách certbot ACME trên máy chủ web. Nhưng nếu bạn muốn dùng ssl cho subdomain mà không cần phải tạo certificate nhiều lần cho mỗi subdomain thì bạn làm như thế nào?

Bài viết này mình chia sẻ các bạn cách đơn giản để làm điều này với Cloudflare & Docker.

Cách mà challenge DNS hoạt động với certbot

Bạn tham khảo tài liệu certbot giải thích về điều này rõ hơn,và mình tóm lại các bước challenge như sau:

  • Certbot yêu cầu chứng chỉ từ máy chủ Let’s Encrypt
  • Máy chủ Let’s Encrypt trả về nội dung challenge
  • Plugin tạo bản ghi DNS TXT chứa nội dung challenge
  • Máy chủ Let’s Encrypt xác thực bản ghi DNS TXT
  • Máy chủ Let’s Encrypt cấp chứng chỉ

Chuẩn bị cloudflare và docker

Ở đây, mình sử dụng Cloudflare làm nhà cung cấp DNS và mình sẽ tạo chứng chỉ cho domain test là tova17.site. Các bạn chuẩn bị 1 vps hoặc máy tính cá nhân có cài đặt Docker

Các bước thực hiện

Đầu tiên tạo các thư mục sau trên VPS:

sudo mkdir /etc/letsencrypt
sudo mkdir /var/lib/letsencrypt

Tạo một Cloudflare credentials Các bạn phải có một tài khoản Cloudflare và trỏ DNS về trên này nhé

image.png

Tạo một API token qua cloudflare dashboard. Edit zone DNS image.png

Lưu token và tạo một file cloudflare.ini

vi /etc/letsencrypt/cloudflare.ini

Điền nội dung như sau

#Cloudflare API token used by Certbot
dns_cloudflare_api_token = 0123456789abcdef0123456789abcdef01234567

Lưu lại và thoát

Tiếp theo bạn chạy docker để cấp tạo certificate cho subdomain ***.tova17.site**

docker run -it --rm --name certbot \ -v "/etc/letsencrypt:/etc/letsencrypt" \ -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \ certbot/dns-cloudflare \ certonly --dns-cloudflare \ --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \ -d *.tova17.site

Khi chạy sẽ hỏi phần thông tin các bạn nhập email và chọn Y các câu hỏi như các bước bạn tạo certificate với Letsencrypt.

Tất các các file cert sẽ lưu tại /etc/letsencrypt/live/$domain

Bây giờ các bạn dùng subdomain SSL mà không cần tạo certificate cho từng subdomain rồi.

Lưu ý: Letsencrypt certificate sẽ hết hạn trong 3 tháng do đó bạn cần tạo 1 shedule để tự động renew chúng.

Mời cà phê

Nếu cảm thấy blog mang đến những thông tin hữu ích cho công việc, cuộc sống, đam mê của bạn, đừng ngại ủng hộ một ly cà phê để mình có thêm động lực chia sẻ thêm nhiều kinh nghiệm, kiến thức nhé.

Bạn có thể ủng hộ mình qua:

Ví MoMo

image.png

Ví MoMo

Paypal

Hỗ trợ qua Paypal

Cám ơn mọi người!