នៅក្នុងពេលវេលានៃកម្មវិធីរុករកតាមអ៊ីនធឺណិត HTTPS ប៉ុណ្ណោះ ខូគី SameSite និងលក្ខខណ្ឌនៃការអភិវឌ្ឍន៍ជាក់ស្តែង វាមានសារៈសំខាន់ណាស់ក្នុងការធ្វើការក្នុងស្រុកជាមួយនឹងវិញ្ញាបនបត្រ SSL ពិតប្រាកដ។ Let's Encrypt បានធ្វើការងារត្រួសត្រាយនៅទីនេះ ដោយមានជំនួយពី certbot និង Cloudflare ការបង្កើត និងបន្តវិញ្ញាបនបត្រជំនួសគឺរហ័ស និងងាយស្រួល។ វាអនុញ្ញាតឱ្យអ្នកចូលប្រើគម្រោងបណ្តាញរបស់អ្នកដែលបានអ៊ិនគ្រីបនៅលើឧបករណ៍ណាមួយ (ស្មាតហ្វូន, VM, ...) នៅក្នុងបណ្តាញមូលដ្ឋាន ឬតាមរយៈ VPN ។
ជាដំបូងយើងចុះឈ្មោះដែនអ្នកអភិវឌ្ឍន៍ជាមួយ Cloudflare ជាឧទាហរណ៍ vielhuber.dev:
ឥឡូវនេះ យើងអនុញ្ញាតឱ្យដែននេះចង្អុលទៅអាសយដ្ឋាន IP មូលដ្ឋានរបស់វាផ្ទាល់ (ឧទាហរណ៍ 192.168.0.2) បង្ហាញ។ ដើម្បីធ្វើដូចនេះបង្កើតកំណត់ត្រា DNS A ខាងក្រោម (សំខាន់៖ ស្ថានភាពប្រូកស៊ីត្រូវតែកំណត់ទៅ ប្រផេះ/DNS តែប៉ុណ្ណោះ ត្រូវបានកំណត់):
| ប្រភេទ | ឈ្មោះ | មាតិកា |
|---|---|---|
| ក | @ | 192.168.0.2 |
| ក | * | 192.168.0.2 |
ដើម្បីធ្វើឱ្យវិញ្ញាបនបត្រតួអក្សរជំនួសមានសុពលភាព ចាំបាច់ត្រូវកំណត់កំណត់ត្រា TXT ដោយស្វ័យប្រវត្តិ។ ដើម្បីធ្វើដូចនេះឥឡូវនេះយើងបង្កើតនិមិត្តសញ្ញា API (ទម្រង់> API Tokens> បង្កើតនិមិត្តសញ្ញា> គំរូ៖ កែសម្រួលតំបន់ DNS) ហើយជ្រើសរើសដែន:
ជាចុងក្រោយ យើងរៀបចំ certbot:
sudo apt install certbot python3-certbot-dns-cloudflare
pip install --upgrade pyOpenSSL cryptography certbot certbot-dns-cloudflareឥឡូវនេះយើងដាក់ប្រាក់ API ដែលបានបង្កើតពីមុន:
mkdir -p ~/.secrets/certbot
nano ~/.secrets/certbot/cloudflare.ini
dns_cloudflare_api_token = YOUR_CLOUDFLARE_API_TOKEN_WITH_EDIT_ZONE_DNS_PERMISSIONS
chmod 600 ~/.secrets/certbot/cloudflare.iniជាចុងក្រោយ យើងស្នើសុំវិញ្ញាបនបត្រ:
certbot certonly \
--dns-cloudflare \
--dns-cloudflare-credentials ~/.secrets/certbot/cloudflare.ini \
--dns-cloudflare-propagation-seconds 60 \
-d '*.vielhuber.dev' -d vielhuber.dev \
--agree-tos \
--email david@vielhuber.de \
--non-interactiveការបន្តដោយស្វ័យប្រវត្តិក៏ត្រូវបានរៀបចំយ៉ាងឆាប់រហ័សផងដែរ។ ដើម្បីការពារ certbot ពីការដំណើរការដោយស្វ័យប្រវត្តិរៀងរាល់ 12 ម៉ោងម្តងជាមួយនឹងពេលវេលាចៃដន្យ ដំបូងយើងបិទដំណើរការស្គ្រីបស្តង់ដារ ហើយបន្ថែមរបស់យើងផ្ទាល់:
sudo mv /etc/cron.d/certbot /etc/cron.d/certbot.disabled
( crontab -l 2>/dev/null; echo "0 12 * * * certbot renew --quiet" ) | crontab -
certbot renew --dry-runនេះគឺចាំបាច់ទាំងអស់៖ ដើម្បីបញ្ចូលទៅក្នុងកម្មវិធី Apache អ្នកយោងទៅលើវិញ្ញាបនបត្រដែលអ្នកទើបតែបានបង្កើតនៅក្នុងការកំណត់រចនាសម្ព័ន្ធ Apache នៅក្នុងគម្រោងរបស់អ្នក (ឧ. /etc/apache2/sites-available/project-xy.conf):
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/vielhuber.dev/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/vielhuber.dev/privkey.pemបន្ទាប់ពីកម្មវិធី Apache ចាប់ផ្តើមឡើងវិញ (sudo systemctl reload apache2) បន្ទាប់មកវិញ្ញាបនបត្រគឺសកម្មរួចហើយ ហើយអ្នកអាចចូលប្រើគម្រោងរបស់អ្នកជាមួយ https://project-xy.vielhuber.dev.
ជាមួយនឹងការខិតខំប្រឹងប្រែងដំបូងបន្តិចបន្តួច អ្នកអាចបង្កើតបរិយាកាសអភិវឌ្ឍន៍ក្នុងតំបន់ជាមួយនឹងវិញ្ញាបនបត្រជំនួសតួអក្សរពិត ដែលមិនត្រឹមតែមានភាពប្រាកដនិយមប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងដំណើរការយ៉ាងរលូនជាមួយនឹងកម្មវិធីរុករកតាមអ៊ីនធឺណិត APIs និងឧបករណ៍ទំនើបៗផងដែរ។ សូមអរគុណចំពោះការផ្ទៀងផ្ទាត់ DNS-01 អ្នកមិនត្រូវការម៉ាស៊ីនមេដែលអាចចូលប្រើបានជាសាធារណៈ ឬសំណើវិញ្ញាបនបត្រដោយដៃទេ អ្វីគ្រប់យ៉ាងគឺស្វ័យប្រវត្តិ សុវត្ថិភាព និងអាចទុកចិត្តបាន។