102 lines
2.7 KiB
Markdown
102 lines
2.7 KiB
Markdown
# TLS Setup — Let's Encrypt + Cloudflare DNS
|
|
|
|
TLS certifikát přes Let's Encrypt bez nutnosti otevírat port 80.
|
|
Ověření domény probíhá přes DNS TXT záznam (Cloudflare API).
|
|
|
|
## Předpoklady
|
|
|
|
- Doména s DNS na Cloudflare (free tier stačí)
|
|
- Cloudflare API token s oprávněním "Edit zone DNS"
|
|
- Root přístup na serveru (certbot potřebuje `/etc/letsencrypt/`)
|
|
|
|
## Postup
|
|
|
|
### 1. Cloudflare API token
|
|
|
|
1. Jdi na https://dash.cloudflare.com/profile/api-tokens
|
|
2. **Create Token** → Use template **"Edit zone DNS"**
|
|
3. Zone Resources → vybrat svou doménu
|
|
4. Zkopíruj vygenerovaný token
|
|
|
|
### 2. Credentials soubor
|
|
|
|
```bash
|
|
cp cloudflare.ini.example cloudflare.ini
|
|
nano cloudflare.ini # vlož API token
|
|
chmod 600 cloudflare.ini
|
|
```
|
|
|
|
### 3. Získání certifikátu
|
|
|
|
```bash
|
|
sudo ./setup-tls.sh chat.example.com
|
|
```
|
|
|
|
Skript nainstaluje certbot + Cloudflare plugin, získá certifikát a vytvoří symlinky v tomto adresáři.
|
|
|
|
### 4. Konfigurace serveru
|
|
|
|
Přidej do `.env` v kořenovém adresáři projektu:
|
|
|
|
```env
|
|
TLS_ENABLED=true
|
|
TLS_CERT_FILE=/etc/letsencrypt/live/chat.example.com/fullchain.pem
|
|
TLS_KEY_FILE=/etc/letsencrypt/live/chat.example.com/privkey.pem
|
|
```
|
|
|
|
### 5. Konfigurace klienta
|
|
|
|
Na klientovi stačí:
|
|
|
|
```env
|
|
TLS_ENABLED=true
|
|
```
|
|
|
|
Let's Encrypt je v systémovém trust store — klient ověří certifikát automaticky.
|
|
|
|
## Obnova certifikátu
|
|
|
|
Certbot obnovuje certifikát automaticky přes systemd timer (každých ~60 dní, cert platí 90).
|
|
|
|
```bash
|
|
# Ověřit že timer běží
|
|
systemctl status certbot.timer
|
|
|
|
# Ruční obnova (test)
|
|
sudo certbot renew --dry-run
|
|
```
|
|
|
|
Po úspěšné obnově se spustí `reload-server.sh` (deploy hook) — restartuje chat server aby načetl nový certifikát.
|
|
|
|
## Soubory
|
|
|
|
| Soubor | Účel |
|
|
|--------|------|
|
|
| `setup-tls.sh` | Instalace certbot + získání certifikátu |
|
|
| `reload-server.sh` | Deploy hook — restartuje server po renew |
|
|
| `cloudflare.ini.example` | Šablona pro Cloudflare API token |
|
|
| `cloudflare.ini` | Tvůj API token (gitignored) |
|
|
|
|
## FAQ
|
|
|
|
**Funguje certifikát na nestandardním portu (např. 9999)?**
|
|
Ano. Certifikát je vázaný na doménu, ne na port. `chat.example.com:9999` funguje.
|
|
|
|
**Musím otevírat port 80?**
|
|
Ne. DNS challenge ověřuje doménu přes DNS TXT záznam, žádný HTTP požadavek na server.
|
|
|
|
**Co když nemám Cloudflare?**
|
|
Můžeš použít ruční DNS challenge (bez automatického renew):
|
|
```bash
|
|
sudo certbot certonly --manual --preferred-challenges dns -d chat.example.com
|
|
```
|
|
Certbot ti řekne jaký TXT záznam přidat. Při renew to musíš opakovat ručně.
|
|
|
|
**Dev/testování bez certifikátu?**
|
|
```env
|
|
ENVIRONMENT=dev
|
|
TLS_ENABLED=true
|
|
TLS_AUTOGEN=true # server vygeneruje self-signed cert
|
|
TLS_INSECURE=true # klient přeskočí ověření
|
|
```
|