Doku ergänzt

Reviewed-on: #3

README.md

@@ -1,50 +1,124 @@
 # Autorenew der Letsencrypt Zertifikate mit CloudPanel
 
+
 ## Was macht dieses Script?
 
-Das Skript `cloudpanel-autorenew-letsencrypt-certs.v1.sh` automatisiert die Erneuerung und Installation von Let's Encrypt-Zertifikaten für alle Domains und Subdomains, die auf einem CloudPanel-Server konfiguriert sind. Es durchsucht die Nginx-Konfigurationsdateien im Verzeichnis `/etc/nginx/sites-enabled/` nach Domain-Namen, extrahiert diese und führt für jede gefundene Domain den Befehl `clpctl lets-encrypt:install:certificate` aus, um das entsprechende SSL-Zertifikat zu erneuern oder zu installieren. Das Skript protokolliert alle seine Aktivitäten in eine Log-Datei, die im Verzeichnis `/var/log/script-logs` gespeichert wird.
+Dieses Script prüft im ersten Schritt, wie lange das Zertifikat der angegeben Domain noch gültig ist.
+Wenn die Gültigkeit einen Wert in Tagen unterschreitet, welcher in der Variable `days_until_expiry=` angegebenen wurde, wird ein neues LetsEncrypt Zertifikat für besagte Domain erstellt.
+Der Wert ist mit 14 Tagen voreingestellt und kann nach belieben verändert werden.
+
+## Wie wird das Zertifikat erzeugt?
+
+Es durchsucht die Nginx-Konfigurationsdateien im Verzeichnis `/etc/nginx/sites-enabled/` nach dem Domain-Namen, extrahiert diesen und führt den Befehl `clpctl lets-encrypt:install:certificate` aus, um das entsprechende SSL-Zertifikat zu erneuern oder zu installieren. Das Skript protokolliert alle seine Aktivitäten in eine Log-Datei, die im Verzeichnis `/var/log/script-logs` gespeichert wird.
+
+## Feature: Domains ausschließen
 
 Domains können jetzt ausgeschlossen werden.
+Das kann ganz einfach geschehen, in dem die auszuschließenden Domains in der Variable `exclude_domains=` gepflegt werden.
 
-Dazu einfach die Variable `exclude_domains` pflegen.
+**Ein Beispiel:**
 
-Domains werden mit Leerzeichen getrennt: `exclude_domains="example.com other.example.com"`
+`exclude_domains="git.techniverse.net techniverse.net"`
+
+In diesem Beispiel werden die Domains (Subdomains) `git.techniverse.net` und `techniverse.net` vom verlängern bzw. erstellen der LetzEncrypt Zertifikate ausgeschlossen.
+Domains müssen immer durch Leerzeichen getrennt werden.
+Sollen keine Domains ausgeschlossen werden, reicht es, die Variable leer zu lassen: `exclude_domains=""`
+
+
+## Feature: Alternative DNS Names berücksichtigen
+
+Alternative DNS Names werden jetzt ebenfalls unterstützt.
+
+Die einzige Voraussetzung ist, dass in der Vhost Konfiguration der Alternative DNS Name nach dem eigentlichen DNS Namen angegeben wird.
+
+**Ein Beispiel:**
+
+Ich habe eine Site erstellt. Dabei habe ich die Domain `cloud.media-techport.de` angegeben.
+In der Vhost Konfiguration ist dieser an erster Stelle gepflegt:
+
+```yaml
+server {
+  listen 80;
+  listen [::]:80;
+  listen 443 ssl http2;
+  listen [::]:443 ssl http2;
+  {{ssl_certificate_key}}
+  {{ssl_certificate}}
+  server_name cloud.media-techport.de cloud.techniverse.net;
+  {{root}}
+```
+
+An zweiter Stelle habe ich den alternativen DNS Name gepflegt. In meinem Fall `cloud.techniverse.net`
+Mehr müsst ihr nicht tun. Das Script wird dies berücksichtigen.
 
-Wird diese Variable nicht gepflegt, werden alle Domains erneuert.
 
 ## Ausführung:
 
 1. **Klonen des Repositorys**
+
 `git clone https://git.techniverse.net/scriptos/cloudpanel-autorenew-letsencrypt-certs.git`
 
+
 2. **Email Settings im Script anpassen**
 
-Folgende Variablen stehen zur Auswahl:
+Folgende Variablen stehen zur Auswahl, wenn der Emailversand genutzt werden soll:
-```
+```bash
 email_from="mail@domain.com"
 email_from_name="$hostname | CloudPanel Server"
 email_to="mail@domain.com"
 email_subject="Letsencrypt Zertifikate wurden auf $HOSTNAME erneuert"
 ```
 
+
 3. **Ausführen des Scripts**
-`bash cloudpanel-autorenew-letsencrypt-certs.v1.sh`
 
-Die Ausgabe sollte folgendermaßen aussehen:
+```bash
+bash cloudpanel-autorenew-letsencrypt-certs.v1.sh
+```
 
-![autorenew](https://git.techniverse.net/scriptos/cloudpanel-autorenew-letsencrypt-certs/raw/branch/main/assets/autorenew1.png)
+Die Ausgabe sieht folgendermaßen aus:
+
+```bash
+Das Zertifikat für cloud.media-techport.de läuft in weniger als 59 Tagen ab (in 58 Tagen).
+Erneuere/Erstelle Zertifikat für: cloud.media-techport.de
+Certificate installation was successful.
+```
 
 Wenn eine Domain übersprungen wird, sieht die Ausgabe folgendermaßen aus:
 
-`Überspringe example.domain.com, da es ausgeschlossen ist.`
+```bash
+Überspringe techniverse.net, da es ausgeschlossen ist.
+```
+
+Wenn ein Zertifikat länger gültig ist, als in der Variable angegeben, sieht die Ausgabe folgendermaßen aus:
+
+```bash
+Das Zertifikat für dl.techniverse.net ist noch 88 Tage gültig. Keine Erneuerung erforderlich.
+```
+
+Wenn ein Zertifikat mit einem Alternativ DNS Name verlängert / erstellt wird, sieht die Ausgabe folgend aus:
+
+```bash
+Das Zertifikat für cloud.media-techport.de,cloud.techniverse.net läuft in weniger als 29 Tagen ab (in 27 Tagen).
+Erneuere/Erstelle Zertifikat für: cloud.media-techport.de mit alternativen Namen: cloud.media-techport.de,cloud.techniverse.net
+Certificate installation was successful.
+```
+
 
 ## Cronjob:
 
 Der Cronjob kann wiefolgt konfiguriert werden.
-Ich für meinen Teil lasse dieses Script einmal im Monat laufen.
 
 1. Aufrufen des Crontabs
 `crontab -e`
 
 2. Konfiguration Cronjob
-`@monthly bash /home/scripts/default/cloudpanel-autorenew-letsencrypt-certs.v1.sh >/dev/null 2>&1`
+`@daily bash /home/scripts/default/cloudpanel-autorenew-letsencrypt-certs.v1.sh >/dev/null 2>&1`
+
+<p align="center">
+  <img src="https://assets.techniverse.net/f1/git/graphics/gray0-catonline.svg" alt="">
+</p>
+
+<p align="center">
+<img src="https://assets.techniverse.net/f1/logos/small/license.png" alt="License" width="15" height="15"> <a href="./cloudpanel-autorenew-letsencrypt-certs/src/branch/main/LICENSE">License</a> | <img src="https://assets.techniverse.net/f1/logos/small/matrix2.svg" alt="Matrix" width="15" height="15"> <a href="https://matrix.to/#/#community:techniverse.net">Matrix</a> | <img src="https://assets.techniverse.net/f1/logos/small/mastodon2.svg" alt="Matrix" width="15" height="15"> <a href="https://social.techniverse.net/@donnerwolke">Mastodon</a>
+</p>

cloudpanel-autorenew-letsencrypt-certs.v1.sh

@@ -5,24 +5,23 @@
 # Autor:        Patrick Asmus
 # Web:          https://www.techniverse.net
 # Git-Reposit.: https://git.techniverse.net/scriptos/cloudpanel-autorenew-letsencrypt-certs.git
-# Version:      1.3
+# Version:      1.5
-# Datum:        20.05.2024
+# Datum:        02.07.2024
-# Modifikation: Domains können nun von der Zertifikatenerneuerung ausgeschlossen werden
+# Modifikation: Alternative DNS Names werden nun auch unterstützt
 #####################################################
 
-# Variables
+# Variablen
 hostname=$(hostname)
 config_path="/etc/nginx/sites-enabled/"
 log_dir="/var/log/script-logs"
 log_file="$log_dir/cloudpanel-letsencrypt-renew.log"
 
-# Email Settings
 email_from="mail@domain.com"
 email_from_name="$hostname | CloudPanel Server"
 email_to="mail@domain.com"
-email_subject="Letsencrypt Zertifikate wurden auf $HOSTNAME erneuert"
+email_subject="Letsencrypt Zertifikate wurden auf $hostname erneuert"
 
-# Exclude Domains
+days_until_expiry=14
 exclude_domains="example.com other.example.com"
 
 # Leite die Ausgaben in das Log-File um
@@ -32,24 +31,39 @@ exec 2>&1
 
 # Funktion zur Erneuerung/Erstellung von Zertifikaten
 renew_certificate() {
-    local domain=$1
+    local primary_domain=$1
-    if [[ ! $exclude_domains =~ (^|[[:space:]])$domain($|[[:space:]]) ]]; then
+    local subject_alternative_names=$2
-        echo "Erneuere/Erstelle Zertifikat für: $domain"
+
-        bash /usr/bin/clpctl lets-encrypt:install:certificate --domainName=$domain
+    echo "Erneuere/Erstelle Zertifikat für: $primary_domain mit alternativen Namen: $subject_alternative_names"
+    bash /usr/bin/clpctl lets-encrypt:install:certificate --domainName="$primary_domain" --subjectAlternativeName="$subject_alternative_names"
+}
+
+# Funktion zur Überprüfung des Ablaufdatums eines Zertifikats
+check_certificate_expiry() {
+    local primary_domain=$1
+    local all_domains=$2
+    local expiry_date=$(openssl s_client -connect $primary_domain:443 -servername $primary_domain < /dev/null 2>/dev/null | openssl x509 -noout -dates | grep 'notAfter=' | cut -d= -f2)
+    local expiry_timestamp=$(date -d "$expiry_date" +%s)
+    local current_timestamp=$(date +%s)
+    local days_left=$(( (expiry_timestamp - current_timestamp) / 86400 ))
+
+    if [[ $days_left -lt $days_until_expiry ]]; then
+        echo "Das Zertifikat für $all_domains läuft in weniger als $days_until_expiry Tagen ab (in $days_left Tagen)."
+        renew_certificate "$primary_domain" "$all_domains"
     else
-        echo "Überspringe $domain, da es ausgeschlossen ist."
+        echo "Das Zertifikat für $all_domains ist noch $days_left Tage gültig. Keine Erneuerung erforderlich."
     fi
 }
 
-# Extrahiere Domains aus den Konfigurationsdateien und führe Zertifikatserneuerung aus
+# Extrahiere Domains aus den Konfigurationsdateien und überprüfe Zertifikatsgültigkeit
 for file in $config_path*; do
-    domains=$(grep "server_name" $file | awk '{print $2}' | tr -d ';' | sed 's/^www\.//' | tr -d '\r')
+    primary_domain=$(grep "server_name" $file | awk '{print $2}' | tr -d ';' | sed 's/^www\.//' | tr -d '\r')
-    for domain in $domains; do
+    all_domains=$(grep "server_name" $file | awk '{for (i=2; i<=NF; i++) print $i}' | tr -d ';' | sed 's/^www\.//' | tr -d '\r' | paste -sd "," -)
-        if [ "$domain" != "_" ]; then
+
-            renew_certificate $domain
+    if [ -n "$primary_domain" ]; then
-        fi
+        check_certificate_expiry "$primary_domain" "$all_domains"
-    done
+    fi
 done
 
 # Senden einer E-Mail mit dem Logfile als Anhang
-echo "Die Letsencrypt Zertifikate wurden auf $HOSTNAME erneuert. Bitte überprüfe das angehängte Log für Details." | mail -a "$log_file" -s "$email_subject" -r "\"$email_from_name\" <$email_from>" "$email_to"
+echo "Die Letsencrypt Zertifikate wurden auf $hostname überprüft und ggf. erneuert. Bitte überprüfe das angehängte Log für Details." | mail -a "$log_file" -s "$email_subject" -r "\"$email_from_name\" <$email_from>" "$email_to"