# Jak vytvořit Cloudflare API token pro DNS-01

Pro vystavení wildcard certifikátu přes Cloudflare potřebuješ **scoped API token** (ne globální Global API Key — ten je nebezpečný).

## Postup

1. Přihlas se do [Cloudflare dashboardu](https://dash.cloudflare.com/profile/api-tokens)
2. Klikni **Create Token** → **Create Custom Token**
3. Nastav:
   - **Token name:** `letsencrypt-dns`
   - **Permissions:**
     - `Zone` → `DNS` → `Edit`
     - `Zone` → `Zone` → `Read`
   - **Zone Resources:**
     - `Include` → `Specific zone` → vyber svou doménu (např. `example.com`)
   - **TTL:** doporučeno nechat prázdné (nikdy nevyprší), nebo nastavit 1 rok
4. **Continue to summary** → **Create Token**
5. Zkopíruj token (zobrazí se jen jednou!)
6. Vlož ho do wizardu v kroku 3

## Test tokenu

```bash
curl -X GET "https://api.cloudflare.com/client/v4/user/tokens/verify" \
  -H "Authorization: Bearer TVUJ_TOKEN" \
  -H "Content-Type: application/json"
```

Měl by vrátit `"status": "active"`.

## Bezpečnost

- Token vidí jen tvůj prohlížeč a server, na kterém spustíš `issue.sh`
- Na serveru je uložen v `/etc/letsencrypt/secrets/cloudflare.ini` s právy `600` (čte jen root)
- Pokud token vyhodíš/zkompromituješ, hned ho [v dashboardu zruš](https://dash.cloudflare.com/profile/api-tokens)