WirFixenAlles/Boilerplates
2
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Update netcup/update_tlsa_record.md

Browse Source
This commit is contained in:
Manuel Gläser
2025-01-24 12:52:07 +00:00
parent d7f41b7ccc
commit 8a1dc75991
1 changed files with 142 additions and 114 deletions
Download Patch File Download Diff File Expand all files Collapse all files

212
netcup/update_tlsa_record.md
View File

@@ -1,16 +1,20 @@
# TLSA Records setzen über die API von NetCup # TLSA Records setzen über die API von NetCup
Mit diesem Script kann man automatisiert den TLSA Record setzen. Es wird zunächst geprüft ob er bereits vorhanden ist, wenn ja wird er nicht aktualisiert. Mit diesem Script kann man automatisiert den TLSA Record setzen. Es wird zunächst geprüft ob er bereits vorhanden ist, wenn ja wird er nicht aktualisiert.
Darüber hinaus wird auch das Rolloverscheme gesetzt. Hier wird die CA von Letsencrypt genutzt, da man vor dem Zertifikatswechsel das neue Zertifikat ja noch nicht kennt bzw. hat.
Optional sind nun auch Pushnachrichten per Gotify möglich, diese werden nur gesandt, wenn Änderungen erfolgt sind.
Die `netcup.env` Datei sollte dabei im gleichen Verzeichnis liegen und folgenden Inhalt haben: Die `netcup.env` Datei sollte dabei im gleichen Verzeichnis liegen und folgenden Inhalt haben:
```python ```python
CUSTOMER_NUMBER=DEINE_KUNDENNUMMER CUSTOMER_NUMBER=<- DEINE_KUNDENNUMMER ->
API_KEY=DEIN_API_KEY API_KEY=<- DEIN_API_KEY ->
API_PASSWORD=DEIN_API_PASSWORT API_PASSWORD=<- DEIN_API_PASSWORT ->
DOMAIN=deine-domain.de DOMAIN=<- deine-domain.de ->
MAIL_SERVICE=deine-mx-domain.de
CERTIFICATE_PATH=PFAD_ZUR_fullchain.pem GOTIFY_URL=<- https://deine-gotify-domain.de ->
GOTIFY_TOKEN=<- DEIN-APP-TOKEN ->
``` ```
```python ```python
@@ -24,39 +28,78 @@ else
exit 1 exit 1
fi fi
# Pfade zu Zertifikaten
CA_CERTIFICATE_DIR="/etc/ssl/certs" # Verzeichnis, in dem CA-Zertifikate gespeichert werden
# URL der Netcup API # URL der Netcup API
API_URL="https://ccp.netcup.net/run/webservice/servers/endpoint.php?JSON" API_URL="https://ccp.netcup.net/run/webservice/servers/endpoint.php?JSON"
# Prüfen, ob das Zertifikat existiert # Gotify-URL und Token für spezifische App
if [[ ! -f "$CERTIFICATE_PATH" ]]; then GOTIFY_URL="$GOTIFY_URL"
echo "Fehler: Zertifikat unter $CERTIFICATE_PATH nicht gefunden!" GOTIFY_TOKEN="$GOTIFY_TOKEN"
exit 1
fi
echo "Zertifikat gefunden: $CERTIFICATE_PATH" # Funktion für Gotify-Benachrichtigungen
send_gotify_notification() {
local TITLE="$1"
local MESSAGE="$2"
local PRIORITY=${3:-0}
# TLSA-Hash generieren mit Fallback-Mechanismus if [[ -n "$GOTIFY_URL" && -n "$GOTIFY_TOKEN" ]]; then
TLSA_HASH="" curl -s -X POST "$GOTIFY_URL/message?token=$GOTIFY_TOKEN" \
RETRY_COUNT=0 -F "title=$TITLE" \
MAX_RETRIES=3 -F "message=$MESSAGE" \
-F "priority=$PRIORITY" > /dev/null
while [[ -z "$TLSA_HASH" && $RETRY_COUNT -lt $MAX_RETRIES ]]; do else
TLSA_HASH=$(openssl x509 -in "$CERTIFICATE_PATH" -pubkey -noout | \ echo "Gotify-Konfiguration fehlt. Keine Benachrichtigung gesendet."
openssl pkey -pubin -outform DER | \
openssl dgst -sha256 -binary | hexdump -ve '1/1 "%.2x"')
if [[ -z "$TLSA_HASH" ]]; then
((RETRY_COUNT++))
echo "Fehler beim Generieren des TLSA-Hashes! Versuche erneut ($RETRY_COUNT/$MAX_RETRIES)"
sleep 1
fi fi
done }
if [[ -z "$TLSA_HASH" ]]; then # Zertifikate prüfen
echo "Fehler beim Generieren des TLSA-Hashes nach $MAX_RETRIES Versuchen!" if [[ ! -f "$CERTIFICATE_PATH" ]]; then
ERROR_MSG="Fehler: Zertifikat unter $CERTIFICATE_PATH nicht gefunden!"
echo "$ERROR_MSG"
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
exit 1 exit 1
fi fi
echo "TLSA-Record-Hash generiert: $TLSA_HASH" # Aktuelles CA-Zertifikat von Let's Encrypt finden
CA_ISSUER_URL=$(openssl x509 -in "$CERTIFICATE_PATH" -noout -text | grep -A1 "CA Issuers" | grep http | sed 's/.*URI://')
CA_CERTIFICATE_PATH="$CA_CERTIFICATE_DIR/$(basename "$CA_ISSUER_URL")"
if [[ ! -f "$CA_CERTIFICATE_PATH" ]]; then
echo "CA-Zertifikat wird von $CA_ISSUER_URL heruntergeladen..."
wget -q "$CA_ISSUER_URL" -O "$CA_CERTIFICATE_PATH"
if [[ $? -ne 0 ]]; then
ERROR_MSG="Fehler beim Herunterladen des CA-Zertifikats von $CA_ISSUER_URL"
echo "$ERROR_MSG"
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
exit 1
fi
echo "CA-Zertifikat erfolgreich heruntergeladen: $CA_CERTIFICATE_PATH"
send_gotify_notification "TLSA Script Erfolg" "CA-Zertifikat erfolgreich heruntergeladen: $CA_CERTIFICATE_PATH" 0
else
echo "CA-Zertifikat gefunden: $CA_CERTIFICATE_PATH"
fi
# TLSA-Hashes generieren
TLSA_HASH_CURRENT=$(openssl x509 -in "$CERTIFICATE_PATH" -pubkey -noout | \
openssl pkey -pubin -outform DER | \
openssl dgst -sha256 -binary | hexdump -ve '1/1 "%.2x"')
TLSA_HASH_CA=$(openssl x509 -in "$CA_CERTIFICATE_PATH" -pubkey -noout | \
openssl pkey -pubin -outform DER | \
openssl dgst -sha256 -binary | hexdump -ve '1/1 "%.2x"')
if [[ -z "$TLSA_HASH_CURRENT" || -z "$TLSA_HASH_CA" ]]; then
ERROR_MSG="Fehler beim Generieren der TLSA-Hashes!"
echo "$ERROR_MSG"
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
exit 1
fi
echo "TLSA-Hashes generiert:"
echo "Aktuelles Zertifikat (3 1 1): $TLSA_HASH_CURRENT"
echo "CA-Zertifikat (2 1 1): $TLSA_HASH_CA"
# Login zur Netcup API # Login zur Netcup API
LOGIN_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \ LOGIN_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
@@ -72,8 +115,10 @@ LOGIN_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
SESSION_ID=$(echo "$LOGIN_RESPONSE" | jq -r '.responsedata.apisessionid') SESSION_ID=$(echo "$LOGIN_RESPONSE" | jq -r '.responsedata.apisessionid')
if [[ -z "$SESSION_ID" || "$SESSION_ID" == "null" ]]; then if [[ -z "$SESSION_ID" || "$SESSION_ID" == "null" ]]; then
echo "Fehler beim Login!" ERROR_MSG="Fehler beim Login!"
echo "$ERROR_MSG"
echo "$LOGIN_RESPONSE" echo "$LOGIN_RESPONSE"
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
exit 1 exit 1
fi fi
@@ -91,78 +136,61 @@ DNS_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
} }
}' "$API_URL") }' "$API_URL")
# JSON komprimieren für grep-Verarbeitung RECORDS=$(echo "$DNS_RESPONSE" | jq -r '.responsedata.dnsrecords // []')
COMPACT_JSON=$(echo "$DNS_RESPONSE" | tr -d '\n' | tr -d '[:space:]')
# TLSA-Record prüfen # Prüfen und aktualisieren der TLSA-Records
EXISTING_TLSA_RECORD=$(echo "$COMPACT_JSON" | grep -o '{"id":[^}]*"hostname":"_25._tcp.'"$MAIL_SERVICE"'"[^}]*"destination":"3[^}]*}') update_tlsa_record() {
local HOSTNAME="$1"
local TYPE="$2"
local HASH="$3"
if [[ -n "$EXISTING_TLSA_RECORD" ]]; then EXISTING_RECORD=$(echo "$RECORDS" | jq -r ".[] | select(.hostname == \"$HOSTNAME\" and .type == \"TLSA\") | .destination // \"\"" | grep -E "^$TYPE.*$HASH")
RECORD_ID=$(echo "$EXISTING_TLSA_RECORD" | grep -o '"id":"[^"]*"' | cut -d '"' -f 4)
EXISTING_DESTINATION=$(echo "$EXISTING_TLSA_RECORD" | grep -o '"destination":"[^"]*"' | cut -d '"' -f 4 | tr -d ' ')
# Entferne Leerzeichen aus TLSA_HASH für den Vergleich if [[ -n "$EXISTING_RECORD" ]]; then
TLSA_HASH_COMPACT=$(echo "3 1 1 $TLSA_HASH" | tr -d ' ') echo "TLSA-Record existiert bereits: $HOSTNAME $TYPE $HASH"
else
echo "TLSA-Record wird aktualisiert: $HOSTNAME $TYPE $HASH"
send_gotify_notification "TLSA Script Info" "TLSA-Record wird aktualisiert: $HOSTNAME $TYPE $HASH" 5
if [[ "$EXISTING_DESTINATION" == "$TLSA_HASH_COMPACT" ]]; then DNS_UPDATE_PAYLOAD='{
echo "Der bestehende TLSA-Record hat bereits den korrekten Wert. Keine Änderungen erforderlich." "action": "updateDnsRecords",
# Logout "param": {
curl -s -X POST -H "Content-Type: application/json" \ "customernumber": "'"$CUSTOMER_NUMBER"'",
-d '{ "apikey": "'"$API_KEY"'",
"action": "logout", "apisessionid": "'"$SESSION_ID"'",
"param": { "domainname": "'"$DOMAIN"'",
"customernumber": "'"$CUSTOMER_NUMBER"'", "dnsrecordset": {
"apikey": "'"$API_KEY"'", "dnsrecords": [
"apisessionid": "'"$SESSION_ID"'" {
"hostname": "'"$HOSTNAME"'",
"type": "TLSA",
"destination": "'"$TYPE $HASH"'",
"state": "yes"
}
]
} }
}' "$API_URL" > /dev/null
echo "Logout abgeschlossen."
exit 0
else
echo "Der bestehende TLSA-Record unterscheidet sich vom neuen Wert. Aktualisierung wird durchgeführt."
fi
else
echo "Kein bestehender TLSA-Record mit Typ '3 1 1' gefunden. Ein neuer wird erstellt."
RECORD_ID=""
fi
# Neuer oder aktualisierter TLSA-Record erstellen
if [[ -z "$EXISTING_TLSA_RECORD" || "$EXISTING_DESTINATION" != "$TLSA_HASH_COMPACT" ]]; then
DNS_UPDATE_PAYLOAD='{
"action": "updateDnsRecords",
"param": {
"customernumber": "'"$CUSTOMER_NUMBER"'",
"apikey": "'"$API_KEY"'",
"apisessionid": "'"$SESSION_ID"'",
"domainname": "'"$DOMAIN"'",
"dnsrecordset": {
"dnsrecords": [
{
"id": "'"$RECORD_ID"'",
"hostname": "_25._tcp.'"$MAIL_SERVICE"'",
"type": "TLSA",
"destination": "3 1 1 '"$TLSA_HASH"'",
"state": "yes"
}
]
} }
} }'
}'
# DNS-Record aktualisieren UPDATE_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
UPDATE_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \ -d "$DNS_UPDATE_PAYLOAD" "$API_URL")
-d "$DNS_UPDATE_PAYLOAD" "$API_URL")
UPDATE_STATUS=$(echo "$UPDATE_RESPONSE" | jq -r '.status') UPDATE_STATUS=$(echo "$UPDATE_RESPONSE" | jq -r '.status')
if [[ "$UPDATE_STATUS" == "success" ]]; then if [[ "$UPDATE_STATUS" == "success" ]]; then
echo "TLSA-Record erfolgreich aktualisiert." echo "TLSA-Record erfolgreich aktualisiert: $HOSTNAME $TYPE $HASH"
else send_gotify_notification "TLSA Script Erfolg" "TLSA-Record erfolgreich aktualisiert: $HOSTNAME $TYPE $HASH" 0
echo "Fehler beim Aktualisieren des TLSA-Records!" else
echo "$UPDATE_RESPONSE" ERROR_MSG="Fehler beim Aktualisieren des TLSA-Records: $HOSTNAME $TYPE $HASH"
echo "$ERROR_MSG"
echo "$UPDATE_RESPONSE"
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
fi
fi fi
fi }
update_tlsa_record "_25._tcp.mail" "3 1 1" "$TLSA_HASH_CURRENT"
update_tlsa_record "_25._tcp.mail" "2 1 1" "$TLSA_HASH_CA"
# Logout # Logout
curl -s -X POST -H "Content-Type: application/json" \ curl -s -X POST -H "Content-Type: application/json" \