I tider av webbläsare endast med HTTPS, SameSite-cookies och realistiska utvecklingsförhållanden är det viktigt att arbeta lokalt med riktiga SSL-certifikat. Let's Encrypt har gjort banbrytande arbete här – med hjälp av certbot och Cloudflare går det snabbt och enkelt att skapa och förnya jokerteckencertifikat. Detta låter dig komma åt dina webbprojekt krypterade på vilken enhet som helst (smarttelefon, VM, ...) i det lokala nätverket eller via VPN.
Vi registrerar först en utvecklardomän med till exempel Cloudflare vielhuber.dev:
Vi låter nu denna domän peka på sin egen lokala IP-adress (till exempel 192.168.0.2) visa. För att göra detta, skapa följande DNS A-poster (viktigt: proxystatusen måste vara inställd på grått/endast DNS vara inställd):
| Typ | Namn | Innehåll |
|---|---|---|
| A | @ | 192.168.0.2 |
| A | * | 192.168.0.2 |
För att validera jokerteckencertifikaten är det nödvändigt att ställa in TXT-poster automatiskt. För att göra detta skapar vi nu en API-token (Profil > API-tokens > Skapa token > Mall: Redigera zon-DNS) och väljer domänen:
Slutligen satte vi upp certbot:
sudo apt install certbot python3-certbot-dns-cloudflare
pip install --upgrade pyOpenSSL cryptography certbot certbot-dns-cloudflareNu sätter vi in det tidigare genererade API-tokenet:
mkdir -p ~/.secrets/certbot
nano ~/.secrets/certbot/cloudflare.ini
dns_cloudflare_api_token = YOUR_CLOUDFLARE_API_TOKEN_WITH_EDIT_ZONE_DNS_PERMISSIONS
chmod 600 ~/.secrets/certbot/cloudflare.iniSlutligen begär vi ett intyg:
certbot certonly \
--dns-cloudflare \
--dns-cloudflare-credentials ~/.secrets/certbot/cloudflare.ini \
--dns-cloudflare-propagation-seconds 60 \
-d '*.vielhuber.dev' -d vielhuber.dev \
--agree-tos \
--email david@vielhuber.de \
--non-interactiveAutomatisk förnyelse ställs också in snabbt. För att förhindra att certbot körs automatiskt var 12:e timme med en slumpmässig tid, avaktiverar vi först standardskriptet och lägger till vårt eget:
sudo mv /etc/cron.d/certbot /etc/cron.d/certbot.disabled
( crontab -l 2>/dev/null; echo "0 12 * * * certbot renew --quiet" ) | crontab -
certbot renew --dry-runDetta är allt som behövs: För att integrera i Apache hänvisar du till de certifikat du just har skapat i Apache-konfigurationen i dina projekt (t.ex. /etc/apache2/sites-available/project-xy.conf):
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/vielhuber.dev/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/vielhuber.dev/privkey.pemEfter en omstart av Apache (sudo systemctl reload apache2) certifikaten är då redan aktiva och du kan komma åt dina projekt med https://project-xy.vielhuber.dev.
Med en liten inledande ansträngning kan du bygga en lokal utvecklingsmiljö med riktiga jokerteckencertifikat som inte bara är realistiska utan också fungerar sömlöst med moderna webbläsare, API:er och enheter. Tack vare DNS-01-verifiering behöver du inte en offentligt tillgänglig server eller manuella certifikatförfrågningar – allt är automatiserat, säkert och pålitligt.