109 lines
3.2 KiB
Bash
Executable File
109 lines
3.2 KiB
Bash
Executable File
#!/usr/bin/env bash
|
|
# Setup TLS certifikátu přes Let's Encrypt + Cloudflare DNS challenge
|
|
# Nevyžaduje otevřený port 80 — ověření přes DNS TXT záznam
|
|
#
|
|
# Použití:
|
|
# 1. Přesuň DNS domény na Cloudflare (free tier stačí)
|
|
# 2. Vytvoř API token: https://dash.cloudflare.com/profile/api-tokens
|
|
# -> Use template "Edit zone DNS" -> vybrat doménu
|
|
# 3. cp cloudflare.ini.example cloudflare.ini
|
|
# Vlož token, chmod 600 cloudflare.ini
|
|
# 4. sudo ./setup-tls.sh chat.example.com
|
|
#
|
|
# Po úspěšném získání certifikátu přidej do .env:
|
|
# TLS_ENABLED=true
|
|
# TLS_CERT_FILE=/etc/letsencrypt/live/DOMENA/fullchain.pem
|
|
# TLS_KEY_FILE=/etc/letsencrypt/live/DOMENA/privkey.pem
|
|
|
|
set -euo pipefail
|
|
|
|
DOMAIN="${1:-}"
|
|
SCRIPT_DIR="$(cd "$(dirname "$0")" && pwd)"
|
|
CREDS="$SCRIPT_DIR/cloudflare.ini"
|
|
DEPLOY_HOOK="$SCRIPT_DIR/reload-server.sh"
|
|
|
|
if [ -z "$DOMAIN" ]; then
|
|
echo "Použití: sudo $0 <domena>"
|
|
echo "Příklad: sudo $0 chat.example.com"
|
|
exit 1
|
|
fi
|
|
|
|
if [ "$EUID" -ne 0 ]; then
|
|
echo "Spusť jako root: sudo $0 $DOMAIN"
|
|
exit 1
|
|
fi
|
|
|
|
if [ ! -f "$CREDS" ]; then
|
|
echo "Chybí $CREDS"
|
|
echo "Zkopíruj cloudflare.ini.example -> cloudflare.ini a vlož API token."
|
|
exit 1
|
|
fi
|
|
|
|
# Ověř oprávnění credentials souboru
|
|
PERMS=$(stat -c %a "$CREDS" 2>/dev/null || stat -f %Lp "$CREDS" 2>/dev/null)
|
|
if [ "$PERMS" != "600" ]; then
|
|
echo "VAROVÁNÍ: $CREDS má oprávnění $PERMS, nastavuji 600"
|
|
chmod 600 "$CREDS"
|
|
fi
|
|
|
|
echo "=== Instalace certbot + Cloudflare pluginu ==="
|
|
if ! command -v certbot &>/dev/null; then
|
|
apt-get update
|
|
apt-get install -y certbot python3-certbot-dns-cloudflare
|
|
echo "Certbot nainstalován."
|
|
else
|
|
echo "Certbot již nainstalován."
|
|
# Doinstaluj plugin pokud chybí
|
|
if ! python3 -c "import certbot_dns_cloudflare" 2>/dev/null; then
|
|
apt-get install -y python3-certbot-dns-cloudflare
|
|
fi
|
|
fi
|
|
|
|
echo ""
|
|
echo "=== Získání certifikátu pro $DOMAIN ==="
|
|
DEPLOY_ARGS=""
|
|
if [ -f "$DEPLOY_HOOK" ] && [ -x "$DEPLOY_HOOK" ]; then
|
|
DEPLOY_ARGS="--deploy-hook $DEPLOY_HOOK"
|
|
echo "Deploy hook: $DEPLOY_HOOK"
|
|
fi
|
|
|
|
certbot certonly \
|
|
--dns-cloudflare \
|
|
--dns-cloudflare-credentials "$CREDS" \
|
|
--dns-cloudflare-propagation-seconds 30 \
|
|
-d "$DOMAIN" \
|
|
--non-interactive \
|
|
--agree-tos \
|
|
--register-unsafely-without-email \
|
|
$DEPLOY_ARGS
|
|
|
|
CERT_DIR="/etc/letsencrypt/live/$DOMAIN"
|
|
if [ -d "$CERT_DIR" ]; then
|
|
echo ""
|
|
echo "=== Certifikát úspěšně získán ==="
|
|
echo ""
|
|
echo "Soubory:"
|
|
echo " Certifikát: $CERT_DIR/fullchain.pem"
|
|
echo " Klíč: $CERT_DIR/privkey.pem"
|
|
echo ""
|
|
echo "Přidej do .env:"
|
|
echo " TLS_ENABLED=true"
|
|
echo " TLS_CERT_FILE=$CERT_DIR/fullchain.pem"
|
|
echo " TLS_KEY_FILE=$CERT_DIR/privkey.pem"
|
|
echo ""
|
|
echo "Na klientovi stačí:"
|
|
echo " TLS_ENABLED=true"
|
|
echo ""
|
|
echo "Automatický renew: certbot timer (systemd) nebo cron"
|
|
echo " systemctl status certbot.timer"
|
|
echo ""
|
|
|
|
# Symlinky pro snadný přístup
|
|
ln -sf "$CERT_DIR/fullchain.pem" "$SCRIPT_DIR/fullchain.pem"
|
|
ln -sf "$CERT_DIR/privkey.pem" "$SCRIPT_DIR/privkey.pem"
|
|
echo "Symlinky vytvořeny v $SCRIPT_DIR/"
|
|
else
|
|
echo "CHYBA: Certifikát nebyl vytvořen."
|
|
exit 1
|
|
fi
|