#!/usr/bin/env bash
# Setup TLS certifikátu přes Let's Encrypt + Cloudflare DNS challenge
# Nevyžaduje otevřený port 80 — ověření přes DNS TXT záznam
#
# Použití:
#   1. Přesuň DNS domény na Cloudflare (free tier stačí)
#   2. Vytvoř API token: https://dash.cloudflare.com/profile/api-tokens
#      -> Use template "Edit zone DNS" -> vybrat doménu
#   3. cp cloudflare.ini.example cloudflare.ini
#      Vlož token, chmod 600 cloudflare.ini
#   4. sudo ./setup-tls.sh chat.example.com
#
# Po úspěšném získání certifikátu přidej do .env:
#   TLS_ENABLED=true
#   TLS_CERT_FILE=/etc/letsencrypt/live/DOMENA/fullchain.pem
#   TLS_KEY_FILE=/etc/letsencrypt/live/DOMENA/privkey.pem

set -euo pipefail

DOMAIN="${1:-}"
SCRIPT_DIR="$(cd "$(dirname "$0")" && pwd)"
CREDS="$SCRIPT_DIR/cloudflare.ini"
DEPLOY_HOOK="$SCRIPT_DIR/reload-server.sh"

if [ -z "$DOMAIN" ]; then
    echo "Použití: sudo $0 <domena>"
    echo "Příklad: sudo $0 chat.example.com"
    exit 1
fi

if [ "$EUID" -ne 0 ]; then
    echo "Spusť jako root: sudo $0 $DOMAIN"
    exit 1
fi

if [ ! -f "$CREDS" ]; then
    echo "Chybí $CREDS"
    echo "Zkopíruj cloudflare.ini.example -> cloudflare.ini a vlož API token."
    exit 1
fi

# Ověř oprávnění credentials souboru
PERMS=$(stat -c %a "$CREDS" 2>/dev/null || stat -f %Lp "$CREDS" 2>/dev/null)
if [ "$PERMS" != "600" ]; then
    echo "VAROVÁNÍ: $CREDS má oprávnění $PERMS, nastavuji 600"
    chmod 600 "$CREDS"
fi

echo "=== Instalace certbot + Cloudflare pluginu ==="
if ! command -v certbot &>/dev/null; then
    apt-get update
    apt-get install -y certbot python3-certbot-dns-cloudflare
    echo "Certbot nainstalován."
else
    echo "Certbot již nainstalován."
    # Doinstaluj plugin pokud chybí
    if ! python3 -c "import certbot_dns_cloudflare" 2>/dev/null; then
        apt-get install -y python3-certbot-dns-cloudflare
    fi
fi

echo ""
echo "=== Získání certifikátu pro $DOMAIN ==="
DEPLOY_ARGS=""
if [ -f "$DEPLOY_HOOK" ] && [ -x "$DEPLOY_HOOK" ]; then
    DEPLOY_ARGS="--deploy-hook $DEPLOY_HOOK"
    echo "Deploy hook: $DEPLOY_HOOK"
fi

certbot certonly \
    --dns-cloudflare \
    --dns-cloudflare-credentials "$CREDS" \
    --dns-cloudflare-propagation-seconds 30 \
    -d "$DOMAIN" \
    --non-interactive \
    --agree-tos \
    --register-unsafely-without-email \
    $DEPLOY_ARGS

CERT_DIR="/etc/letsencrypt/live/$DOMAIN"
if [ -d "$CERT_DIR" ]; then
    echo ""
    echo "=== Certifikát úspěšně získán ==="
    echo ""
    echo "Soubory:"
    echo "  Certifikát: $CERT_DIR/fullchain.pem"
    echo "  Klíč:       $CERT_DIR/privkey.pem"
    echo ""
    echo "Přidej do .env:"
    echo "  TLS_ENABLED=true"
    echo "  TLS_CERT_FILE=$CERT_DIR/fullchain.pem"
    echo "  TLS_KEY_FILE=$CERT_DIR/privkey.pem"
    echo ""
    echo "Na klientovi stačí:"
    echo "  TLS_ENABLED=true"
    echo ""
    echo "Automatický renew: certbot timer (systemd) nebo cron"
    echo "  systemctl status certbot.timer"
    echo ""

    # Symlinky pro snadný přístup
    ln -sf "$CERT_DIR/fullchain.pem" "$SCRIPT_DIR/fullchain.pem"
    ln -sf "$CERT_DIR/privkey.pem" "$SCRIPT_DIR/privkey.pem"
    echo "Symlinky vytvořeny v $SCRIPT_DIR/"
else
    echo "CHYBA: Certifikát nebyl vytvořen."
    exit 1
fi