WirFixenAlles/Boilerplates
2
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Update netcup/update_tlsa_record.md

Browse Source 
Prüfung hinzugefügt, dass ein bestehender 3 1 1 Eintrag ersetzt wird wenn er nciht den gleichen Wert hat. Vorher wurde ein weiterer angelegt.

`jq` muss auf dem Server installiert sein.
This commit is contained in:
Manuel Gläser
2024-11-20 20:14:38 +00:00
parent d2bc47319c
commit ef88adf548
1 changed files with 82 additions and 63 deletions
Download Patch File Download Diff File Expand all files Collapse all files

101
netcup/update_tlsa_record.md
View File

@@ -9,6 +9,7 @@ CUSTOMER_NUMBER=DEINE_KUNDENNUMMER
API_KEY=DEIN_API_KEY API_KEY=DEIN_API_KEY
API_PASSWORD=DEIN_API_PASSWORT API_PASSWORD=DEIN_API_PASSWORT
DOMAIN=deine-domain.de DOMAIN=deine-domain.de
MAIL_SERVICE=deine-mx-domain.de
CERTIFICATE_PATH=PFAD_ZUR_fullchain.pem CERTIFICATE_PATH=PFAD_ZUR_fullchain.pem
``` ```
@@ -34,13 +35,24 @@ fi
echo "Zertifikat gefunden: $CERTIFICATE_PATH" echo "Zertifikat gefunden: $CERTIFICATE_PATH"
# TLSA-Hash generieren # TLSA-Hash generieren mit Fallback-Mechanismus
TLSA_HASH=$(openssl x509 -in "$CERTIFICATE_PATH" -pubkey -noout | \ TLSA_HASH=""
openssl pkey -pubin -outform DER | \ RETRY_COUNT=0
openssl dgst -sha256 -binary | hexdump -ve '1/1 "%.2x"') MAX_RETRIES=3
while [[ -z "$TLSA_HASH" && $RETRY_COUNT -lt $MAX_RETRIES ]]; do
TLSA_HASH=$(openssl x509 -in "$CERTIFICATE_PATH" -pubkey -noout | \
openssl pkey -pubin -outform DER | \
openssl dgst -sha256 -binary | hexdump -ve '1/1 "%.2x"')
if [[ -z "$TLSA_HASH" ]]; then
((RETRY_COUNT++))
echo "Fehler beim Generieren des TLSA-Hashes! Versuche erneut ($RETRY_COUNT/$MAX_RETRIES)"
sleep 1
fi
done
if [[ -z "$TLSA_HASH" ]]; then if [[ -z "$TLSA_HASH" ]]; then
echo "Fehler beim Generieren des TLSA-Hashes!" echo "Fehler beim Generieren des TLSA-Hashes nach $MAX_RETRIES Versuchen!"
exit 1 exit 1
fi fi
@@ -79,16 +91,20 @@ DNS_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
} }
}' "$API_URL") }' "$API_URL")
# JSON komprimieren für grep-Verarbeitung
COMPACT_JSON=$(echo "$DNS_RESPONSE" | tr -d '\n' | tr -d '[:space:]')
# TLSA-Record prüfen # TLSA-Record prüfen
RECORDS=$(echo "$DNS_RESPONSE" | jq -r '.responsedata.dnsrecords') EXISTING_TLSA_RECORD=$(echo "$COMPACT_JSON" | grep -o '{"id":[^}]*"hostname":"_25._tcp.'"$MAIL_SERVICE"'"[^}]*"destination":"3[^}]*}')
EXISTING_TLSA_RECORD=$(echo "$RECORDS" | jq -r ".[] | select(.hostname == \"_25._tcp.mail\" and .type == \"TLSA\")")
if [[ -n "$EXISTING_TLSA_RECORD" ]]; then if [[ -n "$EXISTING_TLSA_RECORD" ]]; then
EXISTING_DESTINATION=$(echo "$EXISTING_TLSA_RECORD" | jq -r '.destination') RECORD_ID=$(echo "$EXISTING_TLSA_RECORD" | grep -o '"id":"[^"]*"' | cut -d '"' -f 4)
RECORD_ID=$(echo "$EXISTING_TLSA_RECORD" | jq -r '.id') EXISTING_DESTINATION=$(echo "$EXISTING_TLSA_RECORD" | grep -o '"destination":"[^"]*"' | cut -d '"' -f 4 | tr -d ' ')
echo "Bestehender TLSA-Record gefunden: ID $RECORD_ID mit Wert $EXISTING_DESTINATION"
if [[ "$EXISTING_DESTINATION" == "3 1 1 $TLSA_HASH" ]]; then # Entferne Leerzeichen aus TLSA_HASH für den Vergleich
TLSA_HASH_COMPACT=$(echo "3 1 1 $TLSA_HASH" | tr -d ' ')
if [[ "$EXISTING_DESTINATION" == "$TLSA_HASH_COMPACT" ]]; then
echo "Der bestehende TLSA-Record hat bereits den korrekten Wert. Keine Änderungen erforderlich." echo "Der bestehende TLSA-Record hat bereits den korrekten Wert. Keine Änderungen erforderlich."
# Logout # Logout
curl -s -X POST -H "Content-Type: application/json" \ curl -s -X POST -H "Content-Type: application/json" \
@@ -103,45 +119,49 @@ if [[ -n "$EXISTING_TLSA_RECORD" ]]; then
echo "Logout abgeschlossen." echo "Logout abgeschlossen."
exit 0 exit 0
else
echo "Der bestehende TLSA-Record unterscheidet sich vom neuen Wert. Aktualisierung wird durchgeführt."
fi fi
else else
echo "Kein bestehender TLSA-Record gefunden. Ein neuer wird erstellt." echo "Kein bestehender TLSA-Record mit Typ '3 1 1' gefunden. Ein neuer wird erstellt."
RECORD_ID="" RECORD_ID=""
fi fi
# Neuer oder aktualisierter TLSA-Record erstellen # Neuer oder aktualisierter TLSA-Record erstellen
DNS_UPDATE_PAYLOAD='{ if [[ -z "$EXISTING_TLSA_RECORD" || "$EXISTING_DESTINATION" != "$TLSA_HASH_COMPACT" ]]; then
"action": "updateDnsRecords", DNS_UPDATE_PAYLOAD='{
"param": { "action": "updateDnsRecords",
"customernumber": "'"$CUSTOMER_NUMBER"'", "param": {
"apikey": "'"$API_KEY"'", "customernumber": "'"$CUSTOMER_NUMBER"'",
"apisessionid": "'"$SESSION_ID"'", "apikey": "'"$API_KEY"'",
"domainname": "'"$DOMAIN"'", "apisessionid": "'"$SESSION_ID"'",
"dnsrecordset": { "domainname": "'"$DOMAIN"'",
"dnsrecords": [ "dnsrecordset": {
{ "dnsrecords": [
"id": "'"$RECORD_ID"'", {
"hostname": "_25._tcp.mail", "id": "'"$RECORD_ID"'",
"type": "TLSA", "hostname": "_25._tcp.'"$MAIL_SERVICE"'",
"destination": "3 1 1 '"$TLSA_HASH"'", "type": "TLSA",
"state": "yes" "destination": "3 1 1 '"$TLSA_HASH"'",
} "state": "yes"
] }
]
}
} }
} }'
}'
# DNS-Record aktualisieren # DNS-Record aktualisieren
UPDATE_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \ UPDATE_RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" \
-d "$DNS_UPDATE_PAYLOAD" "$API_URL") -d "$DNS_UPDATE_PAYLOAD" "$API_URL")
UPDATE_STATUS=$(echo "$UPDATE_RESPONSE" | jq -r '.status') UPDATE_STATUS=$(echo "$UPDATE_RESPONSE" | jq -r '.status')
if [[ "$UPDATE_STATUS" == "success" ]]; then if [[ "$UPDATE_STATUS" == "success" ]]; then
echo "TLSA-Record erfolgreich aktualisiert." echo "TLSA-Record erfolgreich aktualisiert."
else else
echo "Fehler beim Aktualisieren des TLSA-Records!" echo "Fehler beim Aktualisieren des TLSA-Records!"
echo "$UPDATE_RESPONSE" echo "$UPDATE_RESPONSE"
fi
fi fi
# Logout # Logout
@@ -156,5 +176,4 @@ curl -s -X POST -H "Content-Type: application/json" \
}' "$API_URL" > /dev/null }' "$API_URL" > /dev/null
echo "Logout abgeschlossen." echo "Logout abgeschlossen."
``` ```