Update netcup/update_tlsa_record.md
This commit is contained in:
@@ -1,16 +1,20 @@
|
||||
# TLSA Records setzen über die API von NetCup
|
||||
|
||||
Mit diesem Script kann man automatisiert den TLSA Record setzen. Es wird zunächst geprüft ob er bereits vorhanden ist, wenn ja wird er nicht aktualisiert.
|
||||
Darüber hinaus wird auch das Rolloverscheme gesetzt. Hier wird die CA von Letsencrypt genutzt, da man vor dem Zertifikatswechsel das neue Zertifikat ja noch nicht kennt bzw. hat.
|
||||
|
||||
Optional sind nun auch Pushnachrichten per Gotify möglich, diese werden nur gesandt, wenn Änderungen erfolgt sind.
|
||||
|
||||
Die `netcup.env` Datei sollte dabei im gleichen Verzeichnis liegen und folgenden Inhalt haben:
|
||||
|
||||
```python
|
||||
CUSTOMER_NUMBER=DEINE_KUNDENNUMMER
|
||||
API_KEY=DEIN_API_KEY
|
||||
API_PASSWORD=DEIN_API_PASSWORT
|
||||
DOMAIN=deine-domain.de
|
||||
MAIL_SERVICE=deine-mx-domain.de
|
||||
CERTIFICATE_PATH=PFAD_ZUR_fullchain.pem
|
||||
CUSTOMER_NUMBER=<- DEINE_KUNDENNUMMER ->
|
||||
API_KEY=<- DEIN_API_KEY ->
|
||||
API_PASSWORD=<- DEIN_API_PASSWORT ->
|
||||
DOMAIN=<- deine-domain.de ->
|
||||
|
||||
GOTIFY_URL=<- https://deine-gotify-domain.de ->
|
||||
GOTIFY_TOKEN=<- DEIN-APP-TOKEN ->
|
||||
```
|
||||
|
||||
```python
|
||||
@@ -24,39 +28,78 @@ else
|
||||
exit 1
|
||||
fi
|
||||
|
||||
# Pfade zu Zertifikaten
|
||||
CA_CERTIFICATE_DIR="/etc/ssl/certs" # Verzeichnis, in dem CA-Zertifikate gespeichert werden
|
||||
|
||||
# URL der Netcup API
|
||||
API_URL="https://ccp.netcup.net/run/webservice/servers/endpoint.php?JSON"
|
||||
|
||||
# Prüfen, ob das Zertifikat existiert
|
||||
# Gotify-URL und Token für spezifische App
|
||||
GOTIFY_URL="$GOTIFY_URL"
|
||||
GOTIFY_TOKEN="$GOTIFY_TOKEN"
|
||||
|
||||
# Funktion für Gotify-Benachrichtigungen
|
||||
send_gotify_notification() {
|
||||
local TITLE="$1"
|
||||
local MESSAGE="$2"
|
||||
local PRIORITY=${3:-0}
|
||||
|
||||
if [[ -n "$GOTIFY_URL" && -n "$GOTIFY_TOKEN" ]]; then
|
||||
curl -s -X POST "$GOTIFY_URL/message?token=$GOTIFY_TOKEN" \
|
||||
-F "title=$TITLE" \
|
||||
-F "message=$MESSAGE" \
|
||||
-F "priority=$PRIORITY" > /dev/null
|
||||
else
|
||||
echo "Gotify-Konfiguration fehlt. Keine Benachrichtigung gesendet."
|
||||
fi
|
||||
}
|
||||
|
||||
# Zertifikate prüfen
|
||||
if [[ ! -f "$CERTIFICATE_PATH" ]]; then
|
||||
echo "Fehler: Zertifikat unter $CERTIFICATE_PATH nicht gefunden!"
|
||||
ERROR_MSG="Fehler: Zertifikat unter $CERTIFICATE_PATH nicht gefunden!"
|
||||
echo "$ERROR_MSG"
|
||||
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
|
||||
exit 1
|
||||
fi
|
||||
|
||||
echo "Zertifikat gefunden: $CERTIFICATE_PATH"
|
||||
# Aktuelles CA-Zertifikat von Let's Encrypt finden
|
||||
CA_ISSUER_URL=$(openssl x509 -in "$CERTIFICATE_PATH" -noout -text | grep -A1 "CA Issuers" | grep http | sed 's/.*URI://')
|
||||
CA_CERTIFICATE_PATH="$CA_CERTIFICATE_DIR/$(basename "$CA_ISSUER_URL")"
|
||||
|
||||
# TLSA-Hash generieren mit Fallback-Mechanismus
|
||||
TLSA_HASH=""
|
||||
RETRY_COUNT=0
|
||||
MAX_RETRIES=3
|
||||
if [[ ! -f "$CA_CERTIFICATE_PATH" ]]; then
|
||||
echo "CA-Zertifikat wird von $CA_ISSUER_URL heruntergeladen..."
|
||||
wget -q "$CA_ISSUER_URL" -O "$CA_CERTIFICATE_PATH"
|
||||
if [[ $? -ne 0 ]]; then
|
||||
ERROR_MSG="Fehler beim Herunterladen des CA-Zertifikats von $CA_ISSUER_URL"
|
||||
echo "$ERROR_MSG"
|
||||
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
|
||||
exit 1
|
||||
fi
|
||||
echo "CA-Zertifikat erfolgreich heruntergeladen: $CA_CERTIFICATE_PATH"
|
||||
send_gotify_notification "TLSA Script Erfolg" "CA-Zertifikat erfolgreich heruntergeladen: $CA_CERTIFICATE_PATH" 0
|
||||
else
|
||||
echo "CA-Zertifikat gefunden: $CA_CERTIFICATE_PATH"
|
||||
fi
|
||||
|
||||
while [[ -z "$TLSA_HASH" && $RETRY_COUNT -lt $MAX_RETRIES ]]; do
|
||||
TLSA_HASH=$(openssl x509 -in "$CERTIFICATE_PATH" -pubkey -noout | \
|
||||
# TLSA-Hashes generieren
|
||||
TLSA_HASH_CURRENT=$(openssl x509 -in "$CERTIFICATE_PATH" -pubkey -noout | \
|
||||
openssl pkey -pubin -outform DER | \
|
||||
openssl dgst -sha256 -binary | hexdump -ve '1/1 "%.2x"')
|
||||
if [[ -z "$TLSA_HASH" ]]; then
|
||||
((RETRY_COUNT++))
|
||||
echo "Fehler beim Generieren des TLSA-Hashes! Versuche erneut ($RETRY_COUNT/$MAX_RETRIES)"
|
||||
sleep 1
|
||||
fi
|
||||
done
|
||||
|
||||
if [[ -z "$TLSA_HASH" ]]; then
|
||||
echo "Fehler beim Generieren des TLSA-Hashes nach $MAX_RETRIES Versuchen!"
|
||||
TLSA_HASH_CA=$(openssl x509 -in "$CA_CERTIFICATE_PATH" -pubkey -noout | \
|
||||
openssl pkey -pubin -outform DER | \
|
||||
openssl dgst -sha256 -binary | hexdump -ve '1/1 "%.2x"')
|
||||
|
||||
if [[ -z "$TLSA_HASH_CURRENT" || -z "$TLSA_HASH_CA" ]]; then
|
||||
ERROR_MSG="Fehler beim Generieren der TLSA-Hashes!"
|
||||
echo "$ERROR_MSG"
|
||||
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
|
||||
exit 1
|
||||
fi
|
||||
|
||||
echo "TLSA-Record-Hash generiert: $TLSA_HASH"
|
||||
echo "TLSA-Hashes generiert:"
|
||||
echo "Aktuelles Zertifikat (3 1 1): $TLSA_HASH_CURRENT"
|
||||
echo "CA-Zertifikat (2 1 1): $TLSA_HASH_CA"
|
||||
|
||||
# Login zur Netcup API
|
||||
LOGIN_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
|
||||
@@ -72,8 +115,10 @@ LOGIN_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
|
||||
SESSION_ID=$(echo "$LOGIN_RESPONSE" | jq -r '.responsedata.apisessionid')
|
||||
|
||||
if [[ -z "$SESSION_ID" || "$SESSION_ID" == "null" ]]; then
|
||||
echo "Fehler beim Login!"
|
||||
ERROR_MSG="Fehler beim Login!"
|
||||
echo "$ERROR_MSG"
|
||||
echo "$LOGIN_RESPONSE"
|
||||
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
|
||||
exit 1
|
||||
fi
|
||||
|
||||
@@ -91,44 +136,22 @@ DNS_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
|
||||
}
|
||||
}' "$API_URL")
|
||||
|
||||
# JSON komprimieren für grep-Verarbeitung
|
||||
COMPACT_JSON=$(echo "$DNS_RESPONSE" | tr -d '\n' | tr -d '[:space:]')
|
||||
RECORDS=$(echo "$DNS_RESPONSE" | jq -r '.responsedata.dnsrecords // []')
|
||||
|
||||
# TLSA-Record prüfen
|
||||
EXISTING_TLSA_RECORD=$(echo "$COMPACT_JSON" | grep -o '{"id":[^}]*"hostname":"_25._tcp.'"$MAIL_SERVICE"'"[^}]*"destination":"3[^}]*}')
|
||||
# Prüfen und aktualisieren der TLSA-Records
|
||||
update_tlsa_record() {
|
||||
local HOSTNAME="$1"
|
||||
local TYPE="$2"
|
||||
local HASH="$3"
|
||||
|
||||
if [[ -n "$EXISTING_TLSA_RECORD" ]]; then
|
||||
RECORD_ID=$(echo "$EXISTING_TLSA_RECORD" | grep -o '"id":"[^"]*"' | cut -d '"' -f 4)
|
||||
EXISTING_DESTINATION=$(echo "$EXISTING_TLSA_RECORD" | grep -o '"destination":"[^"]*"' | cut -d '"' -f 4 | tr -d ' ')
|
||||
EXISTING_RECORD=$(echo "$RECORDS" | jq -r ".[] | select(.hostname == \"$HOSTNAME\" and .type == \"TLSA\") | .destination // \"\"" | grep -E "^$TYPE.*$HASH")
|
||||
|
||||
# Entferne Leerzeichen aus TLSA_HASH für den Vergleich
|
||||
TLSA_HASH_COMPACT=$(echo "3 1 1 $TLSA_HASH" | tr -d ' ')
|
||||
|
||||
if [[ "$EXISTING_DESTINATION" == "$TLSA_HASH_COMPACT" ]]; then
|
||||
echo "Der bestehende TLSA-Record hat bereits den korrekten Wert. Keine Änderungen erforderlich."
|
||||
# Logout
|
||||
curl -s -X POST -H "Content-Type: application/json" \
|
||||
-d '{
|
||||
"action": "logout",
|
||||
"param": {
|
||||
"customernumber": "'"$CUSTOMER_NUMBER"'",
|
||||
"apikey": "'"$API_KEY"'",
|
||||
"apisessionid": "'"$SESSION_ID"'"
|
||||
}
|
||||
}' "$API_URL" > /dev/null
|
||||
|
||||
echo "Logout abgeschlossen."
|
||||
exit 0
|
||||
if [[ -n "$EXISTING_RECORD" ]]; then
|
||||
echo "TLSA-Record existiert bereits: $HOSTNAME $TYPE $HASH"
|
||||
else
|
||||
echo "Der bestehende TLSA-Record unterscheidet sich vom neuen Wert. Aktualisierung wird durchgeführt."
|
||||
fi
|
||||
else
|
||||
echo "Kein bestehender TLSA-Record mit Typ '3 1 1' gefunden. Ein neuer wird erstellt."
|
||||
RECORD_ID=""
|
||||
fi
|
||||
echo "TLSA-Record wird aktualisiert: $HOSTNAME $TYPE $HASH"
|
||||
send_gotify_notification "TLSA Script Info" "TLSA-Record wird aktualisiert: $HOSTNAME $TYPE $HASH" 5
|
||||
|
||||
# Neuer oder aktualisierter TLSA-Record erstellen
|
||||
if [[ -z "$EXISTING_TLSA_RECORD" || "$EXISTING_DESTINATION" != "$TLSA_HASH_COMPACT" ]]; then
|
||||
DNS_UPDATE_PAYLOAD='{
|
||||
"action": "updateDnsRecords",
|
||||
"param": {
|
||||
@@ -139,10 +162,9 @@ if [[ -z "$EXISTING_TLSA_RECORD" || "$EXISTING_DESTINATION" != "$TLSA_HASH_COMPA
|
||||
"dnsrecordset": {
|
||||
"dnsrecords": [
|
||||
{
|
||||
"id": "'"$RECORD_ID"'",
|
||||
"hostname": "_25._tcp.'"$MAIL_SERVICE"'",
|
||||
"hostname": "'"$HOSTNAME"'",
|
||||
"type": "TLSA",
|
||||
"destination": "3 1 1 '"$TLSA_HASH"'",
|
||||
"destination": "'"$TYPE $HASH"'",
|
||||
"state": "yes"
|
||||
}
|
||||
]
|
||||
@@ -150,19 +172,25 @@ if [[ -z "$EXISTING_TLSA_RECORD" || "$EXISTING_DESTINATION" != "$TLSA_HASH_COMPA
|
||||
}
|
||||
}'
|
||||
|
||||
# DNS-Record aktualisieren
|
||||
UPDATE_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
|
||||
-d "$DNS_UPDATE_PAYLOAD" "$API_URL")
|
||||
|
||||
UPDATE_STATUS=$(echo "$UPDATE_RESPONSE" | jq -r '.status')
|
||||
|
||||
if [[ "$UPDATE_STATUS" == "success" ]]; then
|
||||
echo "TLSA-Record erfolgreich aktualisiert."
|
||||
echo "TLSA-Record erfolgreich aktualisiert: $HOSTNAME $TYPE $HASH"
|
||||
send_gotify_notification "TLSA Script Erfolg" "TLSA-Record erfolgreich aktualisiert: $HOSTNAME $TYPE $HASH" 0
|
||||
else
|
||||
echo "Fehler beim Aktualisieren des TLSA-Records!"
|
||||
ERROR_MSG="Fehler beim Aktualisieren des TLSA-Records: $HOSTNAME $TYPE $HASH"
|
||||
echo "$ERROR_MSG"
|
||||
echo "$UPDATE_RESPONSE"
|
||||
send_gotify_notification "TLSA Script Fehler" "$ERROR_MSG" 10
|
||||
fi
|
||||
fi
|
||||
}
|
||||
|
||||
update_tlsa_record "_25._tcp.mail" "3 1 1" "$TLSA_HASH_CURRENT"
|
||||
update_tlsa_record "_25._tcp.mail" "2 1 1" "$TLSA_HASH_CA"
|
||||
|
||||
# Logout
|
||||
curl -s -X POST -H "Content-Type: application/json" \
|
||||
|
||||
Reference in New Issue
Block a user