initial commit

2026-03-11 16:06:00 +01:00
parent b3c69053f6
commit 5fd80e6dd6
127 changed files with 39684 additions and 0 deletions
--- a/certs/README.md
+++ b/certs/README.md
@@ -0,0 +1,101 @@
+# TLS Setup — Let's Encrypt + Cloudflare DNS
+
+TLS certifikát přes Let's Encrypt bez nutnosti otevírat port 80.
+Ověření domény probíhá přes DNS TXT záznam (Cloudflare API).
+
+## Předpoklady
+
+- Doména s DNS na Cloudflare (free tier stačí)
+- Cloudflare API token s oprávněním "Edit zone DNS"
+- Root přístup na serveru (certbot potřebuje `/etc/letsencrypt/`)
+
+## Postup
+
+### 1. Cloudflare API token
+
+1. Jdi na https://dash.cloudflare.com/profile/api-tokens
+2. **Create Token** → Use template **"Edit zone DNS"**
+3. Zone Resources → vybrat svou doménu
+4. Zkopíruj vygenerovaný token
+
+### 2. Credentials soubor
+
+```bash
+cp cloudflare.ini.example cloudflare.ini
+nano cloudflare.ini          # vlož API token
+chmod 600 cloudflare.ini
+```
+
+### 3. Získání certifikátu
+
+```bash
+sudo ./setup-tls.sh chat.example.com
+```
+
+Skript nainstaluje certbot + Cloudflare plugin, získá certifikát a vytvoří symlinky v tomto adresáři.
+
+### 4. Konfigurace serveru
+
+Přidej do `.env` v kořenovém adresáři projektu:
+
+```env
+TLS_ENABLED=true
+TLS_CERT_FILE=/etc/letsencrypt/live/chat.example.com/fullchain.pem
+TLS_KEY_FILE=/etc/letsencrypt/live/chat.example.com/privkey.pem
+```
+
+### 5. Konfigurace klienta
+
+Na klientovi stačí:
+
+```env
+TLS_ENABLED=true
+```
+
+Let's Encrypt je v systémovém trust store — klient ověří certifikát automaticky.
+
+## Obnova certifikátu
+
+Certbot obnovuje certifikát automaticky přes systemd timer (každých ~60 dní, cert platí 90).
+
+```bash
+# Ověřit že timer běží
+systemctl status certbot.timer
+
+# Ruční obnova (test)
+sudo certbot renew --dry-run
+```
+
+Po úspěšné obnově se spustí `reload-server.sh` (deploy hook) — restartuje chat server aby načetl nový certifikát.
+
+## Soubory
+
+| Soubor | Účel |
+|--------|------|
+| `setup-tls.sh` | Instalace certbot + získání certifikátu |
+| `reload-server.sh` | Deploy hook — restartuje server po renew |
+| `cloudflare.ini.example` | Šablona pro Cloudflare API token |
+| `cloudflare.ini` | Tvůj API token (gitignored) |
+
+## FAQ
+
+**Funguje certifikát na nestandardním portu (např. 9999)?**
+Ano. Certifikát je vázaný na doménu, ne na port. `chat.example.com:9999` funguje.
+
+**Musím otevírat port 80?**
+Ne. DNS challenge ověřuje doménu přes DNS TXT záznam, žádný HTTP požadavek na server.
+
+**Co když nemám Cloudflare?**
+Můžeš použít ruční DNS challenge (bez automatického renew):
+```bash
+sudo certbot certonly --manual --preferred-challenges dns -d chat.example.com
+```
+Certbot ti řekne jaký TXT záznam přidat. Při renew to musíš opakovat ručně.
+
+**Dev/testování bez certifikátu?**
+```env
+ENVIRONMENT=dev
+TLS_ENABLED=true
+TLS_AUTOGEN=true       # server vygeneruje self-signed cert
+TLS_INSECURE=true      # klient přeskočí ověření
+```
--- a/certs/cloudflare.ini.example
+++ b/certs/cloudflare.ini.example
@@ -0,0 +1,11 @@
+# Cloudflare API token pro certbot DNS challenge
+# 1. Jdi na https://dash.cloudflare.com/profile/api-tokens
+# 2. Create Token -> Edit zone DNS (template)
+# 3. Zone Resources: vybrat svou doménu
+# 4. Zkopírovat token sem
+#
+# Po vyplnění přejmenuj na cloudflare.ini a nastav práva:
+#   cp cloudflare.ini.example cloudflare.ini
+#   chmod 600 cloudflare.ini
+
+dns_cloudflare_api_token = VLOZ_SVUJ_CLOUDFLARE_API_TOKEN
--- a/certs/reload-server.sh
+++ b/certs/reload-server.sh
@@ -0,0 +1,28 @@
+#!/usr/bin/env bash
+# Deploy hook — spustí se automaticky po úspěšném renew certifikátu
+# Certbot volá tento skript s RENEWED_LINEAGE a RENEWED_DOMAINS env vars
+#
+# Restartuje chat server aby načetl nový certifikát.
+# Přizpůsob podle toho jak server spouštíš (systemd / screen / přímý proces).
+
+set -euo pipefail
+
+echo "Certifikát obnoven pro: ${RENEWED_DOMAINS:-unknown}"
+
+# Varianta 1: Systemd service
+if systemctl is-active --quiet encrypted-chat 2>/dev/null; then
+    systemctl restart encrypted-chat
+    echo "Server restartován (systemd)."
+    exit 0
+fi
+
+# Varianta 2: Poslat SIGINT procesu (graceful shutdown + ruční restart)
+PID=$(pgrep -f "python.*server.py" || true)
+if [ -n "$PID" ]; then
+    echo "Posílám SIGINT procesu $PID (server.py)"
+    kill -INT "$PID"
+    echo "Server zastaven. Spusť ho znovu ručně nebo přes systemd."
+    exit 0
+fi
+
+echo "VAROVÁNÍ: Server proces nenalezen. Restartuj server ručně."
--- a/certs/setup-tls.sh
+++ b/certs/setup-tls.sh
@@ -0,0 +1,108 @@
+#!/usr/bin/env bash
+# Setup TLS certifikátu přes Let's Encrypt + Cloudflare DNS challenge
+# Nevyžaduje otevřený port 80 — ověření přes DNS TXT záznam
+#
+# Použití:
+#   1. Přesuň DNS domény na Cloudflare (free tier stačí)
+#   2. Vytvoř API token: https://dash.cloudflare.com/profile/api-tokens
+#      -> Use template "Edit zone DNS" -> vybrat doménu
+#   3. cp cloudflare.ini.example cloudflare.ini
+#      Vlož token, chmod 600 cloudflare.ini
+#   4. sudo ./setup-tls.sh chat.example.com
+#
+# Po úspěšném získání certifikátu přidej do .env:
+#   TLS_ENABLED=true
+#   TLS_CERT_FILE=/etc/letsencrypt/live/DOMENA/fullchain.pem
+#   TLS_KEY_FILE=/etc/letsencrypt/live/DOMENA/privkey.pem
+
+set -euo pipefail
+
+DOMAIN="${1:-}"
+SCRIPT_DIR="$(cd "$(dirname "$0")" && pwd)"
+CREDS="$SCRIPT_DIR/cloudflare.ini"
+DEPLOY_HOOK="$SCRIPT_DIR/reload-server.sh"
+
+if [ -z "$DOMAIN" ]; then
+    echo "Použití: sudo $0 <domena>"
+    echo "Příklad: sudo $0 chat.example.com"
+    exit 1
+fi
+
+if [ "$EUID" -ne 0 ]; then
+    echo "Spusť jako root: sudo $0 $DOMAIN"
+    exit 1
+fi
+
+if [ ! -f "$CREDS" ]; then
+    echo "Chybí $CREDS"
+    echo "Zkopíruj cloudflare.ini.example -> cloudflare.ini a vlož API token."
+    exit 1
+fi
+
+# Ověř oprávnění credentials souboru
+PERMS=$(stat -c %a "$CREDS" 2>/dev/null || stat -f %Lp "$CREDS" 2>/dev/null)
+if [ "$PERMS" != "600" ]; then
+    echo "VAROVÁNÍ: $CREDS má oprávnění $PERMS, nastavuji 600"
+    chmod 600 "$CREDS"
+fi
+
+echo "=== Instalace certbot + Cloudflare pluginu ==="
+if ! command -v certbot &>/dev/null; then
+    apt-get update
+    apt-get install -y certbot python3-certbot-dns-cloudflare
+    echo "Certbot nainstalován."
+else
+    echo "Certbot již nainstalován."
+    # Doinstaluj plugin pokud chybí
+    if ! python3 -c "import certbot_dns_cloudflare" 2>/dev/null; then
+        apt-get install -y python3-certbot-dns-cloudflare
+    fi
+fi
+
+echo ""
+echo "=== Získání certifikátu pro $DOMAIN ==="
+DEPLOY_ARGS=""
+if [ -f "$DEPLOY_HOOK" ] && [ -x "$DEPLOY_HOOK" ]; then
+    DEPLOY_ARGS="--deploy-hook $DEPLOY_HOOK"
+    echo "Deploy hook: $DEPLOY_HOOK"
+fi
+
+certbot certonly \
+    --dns-cloudflare \
+    --dns-cloudflare-credentials "$CREDS" \
+    --dns-cloudflare-propagation-seconds 30 \
+    -d "$DOMAIN" \
+    --non-interactive \
+    --agree-tos \
+    --register-unsafely-without-email \
+    $DEPLOY_ARGS
+
+CERT_DIR="/etc/letsencrypt/live/$DOMAIN"
+if [ -d "$CERT_DIR" ]; then
+    echo ""
+    echo "=== Certifikát úspěšně získán ==="
+    echo ""
+    echo "Soubory:"
+    echo "  Certifikát: $CERT_DIR/fullchain.pem"
+    echo "  Klíč:       $CERT_DIR/privkey.pem"
+    echo ""
+    echo "Přidej do .env:"
+    echo "  TLS_ENABLED=true"
+    echo "  TLS_CERT_FILE=$CERT_DIR/fullchain.pem"
+    echo "  TLS_KEY_FILE=$CERT_DIR/privkey.pem"
+    echo ""
+    echo "Na klientovi stačí:"
+    echo "  TLS_ENABLED=true"
+    echo ""
+    echo "Automatický renew: certbot timer (systemd) nebo cron"
+    echo "  systemctl status certbot.timer"
+    echo ""
+
+    # Symlinky pro snadný přístup
+    ln -sf "$CERT_DIR/fullchain.pem" "$SCRIPT_DIR/fullchain.pem"
+    ln -sf "$CERT_DIR/privkey.pem" "$SCRIPT_DIR/privkey.pem"
+    echo "Symlinky vytvořeny v $SCRIPT_DIR/"
+else
+    echo "CHYBA: Certifikát nebyl vytvořen."
+    exit 1
+fi