@aaricchen1991/n2-cli 1.0.0

package/assets/deploy/ssl/check-and-setup-ssl.sh

@@ -0,0 +1,222 @@
+#!/bin/bash
+# SSL 证书检查和设置脚本
+# 用于 GitHub Actions 中自动检查并申请/续期证书
+# 如果证书不存在或即将到期（30天内），则自动申请/续期
+# 域名列表从 domains.txt 读取（由 n2-deploy 根据配置生成）
+
+set -e
+
+SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
+if [ -f "/opt/ssl/common.sh" ]; then
+    . /opt/ssl/common.sh
+elif [ -f "$SCRIPT_DIR/common.sh" ]; then
+    . "$SCRIPT_DIR/common.sh"
+elif [ -f "$SCRIPT_DIR/../lib/common.sh" ]; then
+    . "$SCRIPT_DIR/../lib/common.sh"
+else
+    RED='\033[0;31m'; GREEN='\033[0;32m'; YELLOW='\033[1;33m'; NC='\033[0m'
+    log() { echo -e "${GREEN}[$(date +'%Y-%m-%d %H:%M:%S')]${NC} $1"; }
+    error() { echo -e "${RED}[ERROR]${NC} $1" >&2; }
+    warning() { echo -e "${YELLOW}[WARNING]${NC} $1"; }
+    get_domains_file() { [ -n "$DOMAINS_FILE" ] && [ -f "$DOMAINS_FILE" ] && { echo "$DOMAINS_FILE"; return 0; }; [ -f "/opt/ssl/domains.txt" ] && { echo "/opt/ssl/domains.txt"; return 0; }; [ -f "$SCRIPT_DIR/domains.txt" ] && { echo "$SCRIPT_DIR/domains.txt"; return 0; }; return 1; }
+    read_domains_list() { local f; f=$(get_domains_file) || return 1; while IFS= read -r line || [ -n "$line" ]; do line=$(echo "$line" | tr -d '\r'); [ -z "$line" ] && continue; echo "$line" | grep -q '^#' && continue; echo "$line"; done < "$f"; }
+fi
+
+# 检查是否以 root 权限运行
+if [ "$EUID" -ne 0 ]; then 
+    error "请使用 sudo 运行此脚本"
+    exit 1
+fi
+
+# 确保在有效目录下执行，避免 getcwd 报错（例如从已被删除的 /tmp/server-init 调用时）
+cd /
+
+# 阿里云 API 凭证
+ALI_KEY=""
+ALI_SECRET=""
+
+# 调试模式
+DEBUG_MODE=false
+
+# 解析命令行参数
+while [[ $# -gt 0 ]]; do
+    case $1 in
+        --ali-key)
+            if [ -n "$2" ]; then
+                ALI_KEY="$2"
+                shift 2
+            else
+                shift
+            fi
+            ;;
+        --ali-secret)
+            if [ -n "$2" ]; then
+                ALI_SECRET="$2"
+                shift 2
+            else
+                shift
+            fi
+            ;;
+        --debug)
+            DEBUG_MODE=true
+            set -x  # 启用 bash 调试模式，显示所有执行的命令
+            shift
+            ;;
+        *)
+            shift
+            ;;
+    esac
+done
+
+# 检查证书是否需要申请或续期的函数
+check_cert_needs_action() {
+    local domain=$1
+    local cert_file="/etc/nginx/ssl/${domain}.crt"
+    
+    # 如果证书文件不存在，需要申请
+    if [ ! -f "$cert_file" ]; then
+        echo "missing"
+        return 0
+    fi
+    
+    # 检查证书到期时间
+    local expiry_date=$(openssl x509 -in "$cert_file" -noout -enddate 2>/dev/null | cut -d= -f2)
+    if [ -z "$expiry_date" ]; then
+        warning "无法读取证书到期时间: $cert_file"
+        echo "expired"
+        return 0
+    fi
+    
+    # 计算剩余天数（兼容不同系统的 date 命令）
+    local expiry_timestamp=""
+    # 尝试 GNU date 格式（Linux）
+    expiry_timestamp=$(date -d "$expiry_date" +%s 2>/dev/null)
+    # 如果失败，尝试 BSD date 格式（macOS）
+    if [ -z "$expiry_timestamp" ]; then
+        # 解析格式: "Jan  5 12:00:00 2025 GMT"
+        expiry_timestamp=$(date -j -f "%b %d %H:%M:%S %Y %Z" "$expiry_date" +%s 2>/dev/null)
+    fi
+    
+    local current_timestamp=$(date +%s)
+    
+    if [ -z "$expiry_timestamp" ]; then
+        warning "无法解析证书到期时间: $expiry_date"
+        echo "expired"
+        return 0
+    fi
+    
+    local days_remaining=$(( ($expiry_timestamp - $current_timestamp) / 86400 ))
+    
+    if [ $days_remaining -lt 0 ]; then
+        echo "expired"
+    elif [ $days_remaining -lt 30 ]; then
+        echo "renew"
+    else
+        echo "ok"
+    fi
+}
+
+log "开始检查 SSL 证书状态..."
+
+# 检查阿里云 API 凭证（优先使用参数，其次使用环境变量）
+if [ -z "$ALI_KEY" ]; then
+    ALI_KEY="$Ali_Key"
+fi
+if [ -z "$ALI_SECRET" ]; then
+    ALI_SECRET="$Ali_Secret"
+fi
+
+if [ -z "$ALI_KEY" ] || [ -z "$ALI_SECRET" ]; then
+    warning "未设置阿里云 API 凭证，跳过 SSL 证书设置"
+    warning "如需配置 SSL 证书，请通过参数传递:"
+    warning "  --ali-key \"your_access_key_id\" --ali-secret \"your_access_key_secret\""
+    warning "或者设置环境变量:"
+    warning "  export Ali_Key=\"your_access_key_id\""
+    warning "  export Ali_Secret=\"your_access_key_secret\""
+    exit 0
+fi
+
+# 设置环境变量供后续脚本使用
+export Ali_Key="$ALI_KEY"
+export Ali_Secret="$ALI_SECRET"
+
+# 检查 SSL 脚本是否存在
+SSL_SETUP_SCRIPT=""
+SSL_RENEW_SCRIPT=""
+
+# 按优先级查找脚本
+if [ -f "/tmp/server-init/ssl/setup-ssl.sh" ]; then
+    SSL_SETUP_SCRIPT="/tmp/server-init/ssl/setup-ssl.sh"
+    SSL_RENEW_SCRIPT="/tmp/server-init/ssl/renew-ssl.sh"
+elif [ -f "/opt/ssl/setup-ssl.sh" ]; then
+    SSL_SETUP_SCRIPT="/opt/ssl/setup-ssl.sh"
+    SSL_RENEW_SCRIPT="/opt/ssl/renew-ssl.sh"
+elif [ -f "/opt/deploy/../ssl/setup-ssl.sh" ]; then
+    SSL_SETUP_SCRIPT="/opt/deploy/../ssl/setup-ssl.sh"
+    SSL_RENEW_SCRIPT="/opt/deploy/../ssl/renew-ssl.sh"
+else
+    # 尝试从当前目录查找
+    SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
+    if [ -f "$SCRIPT_DIR/setup-ssl.sh" ]; then
+        SSL_SETUP_SCRIPT="$SCRIPT_DIR/setup-ssl.sh"
+        SSL_RENEW_SCRIPT="$SCRIPT_DIR/renew-ssl.sh"
+    fi
+fi
+
+if [ -z "$SSL_SETUP_SCRIPT" ] || [ ! -f "$SSL_SETUP_SCRIPT" ]; then
+    error "无法找到 setup-ssl.sh 脚本"
+    error "请确保 SSL 脚本已上传到服务器"
+    exit 1
+fi
+
+# 从 domains.txt 读取域名列表（api + admin + tenant + client）
+DOMAINS_FILE_PATH=$(get_domains_file 2>/dev/null) || true
+if [ -z "$DOMAINS_FILE_PATH" ] || [ ! -f "$DOMAINS_FILE_PATH" ]; then
+    error "无法找到域名列表 domains.txt，请先执行 n2-deploy init 或 n2-deploy ssl 根据配置生成"
+    exit 1
+fi
+
+# 检查并申请所有域名的证书
+while IFS= read -r DOM || [ -n "$DOM" ]; do
+    DOM=$(echo "$DOM" | tr -d '\r')
+    [ -z "$DOM" ] && continue
+    echo "$DOM" | grep -q '^#' && continue
+    log "检查 $DOM 证书..."
+    CERT_STATUS=$(check_cert_needs_action "$DOM")
+    if [ "$CERT_STATUS" = "missing" ] || [ "$CERT_STATUS" = "expired" ]; then
+        log "$DOM 证书不存在或已过期，开始申请..."
+        if [ -f "$SSL_SETUP_SCRIPT" ]; then
+            bash "$SSL_SETUP_SCRIPT" --domains "$DOM" --ali-key "$ALI_KEY" --ali-secret "$ALI_SECRET" $([ "$DEBUG_MODE" = true ] && echo "--debug") || {
+                error "$DOM 证书申请失败"
+                exit 1
+            }
+        else
+            error "无法找到 setup-ssl.sh 脚本"
+            exit 1
+        fi
+    elif [ "$CERT_STATUS" = "renew" ]; then
+        log "$DOM 证书即将到期，开始续期..."
+        if [ -f "$SSL_RENEW_SCRIPT" ]; then
+            if ! bash "$SSL_RENEW_SCRIPT" --ali-key "$ALI_KEY" --ali-secret "$ALI_SECRET" $([ "$DEBUG_MODE" = true ] && echo "--debug"); then
+                # 续期失败常见原因：证书不是 acme.sh 签发（如占位证书），acme.sh 会报 "is not an issued domain"
+                # 此时改为申请新证书
+                log "$DOM 续期失败（可能为占位证书），改为申请新证书..."
+                if [ -f "$SSL_SETUP_SCRIPT" ]; then
+                    bash "$SSL_SETUP_SCRIPT" --domains "$DOM" --ali-key "$ALI_KEY" --ali-secret "$ALI_SECRET" $([ "$DEBUG_MODE" = true ] && echo "--debug") || {
+                        error "$DOM 证书申请失败"
+                        exit 1
+                    }
+                else
+                    warning "$DOM 证书续期失败，且无法找到 setup-ssl.sh，跳过"
+                fi
+            fi
+        else
+            warning "无法找到 renew-ssl.sh 脚本，跳过续期"
+        fi
+    else
+        log "$DOM 证书有效，无需操作"
+    fi
+done < <(read_domains_list)
+
+log "SSL 证书检查完成"
+

package/assets/deploy/ssl/domains.txt

@@ -0,0 +1,3 @@
+n2-admin.cdqxtech.com
+n2-tenant.cdqxtech.com
+n2-client.cdqxtech.com

package/assets/deploy/ssl/renew-ssl.sh

@@ -0,0 +1,236 @@
+#!/bin/bash
+# SSL 证书续期脚本
+# 检查并续期即将到期的 Let's Encrypt 证书
+# 域名列表从 domains.txt 读取（由 n2-deploy 根据配置生成）
+# 使用方法: renew-ssl.sh [--force]
+
+set -e
+
+SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
+if [ -f "/opt/ssl/common.sh" ]; then
+    . /opt/ssl/common.sh
+elif [ -f "$SCRIPT_DIR/common.sh" ]; then
+    . "$SCRIPT_DIR/common.sh"
+elif [ -f "$SCRIPT_DIR/../lib/common.sh" ]; then
+    . "$SCRIPT_DIR/../lib/common.sh"
+else
+    RED='\033[0;31m'; GREEN='\033[0;32m'; YELLOW='\033[1;33m'; NC='\033[0m'
+    log() { echo -e "${GREEN}[$(date +'%Y-%m-%d %H:%M:%S')]${NC} $1"; }
+    error() { echo -e "${RED}[ERROR]${NC} $1" >&2; }
+    warning() { echo -e "${YELLOW}[WARNING]${NC} $1"; }
+    get_domains_file() { [ -n "$DOMAINS_FILE" ] && [ -f "$DOMAINS_FILE" ] && { echo "$DOMAINS_FILE"; return 0; }; [ -f "/opt/ssl/domains.txt" ] && { echo "/opt/ssl/domains.txt"; return 0; }; [ -f "$SCRIPT_DIR/domains.txt" ] && { echo "$SCRIPT_DIR/domains.txt"; return 0; }; return 1; }
+    read_domains_list() { local f; f=$(get_domains_file) || return 1; while IFS= read -r line || [ -n "$line" ]; do line=$(echo "$line" | tr -d '\r'); [ -z "$line" ] && continue; echo "$line" | grep -q '^#' && continue; echo "$line"; done < "$f"; }
+fi
+
+# 检查是否以 root 权限运行
+if [ "$EUID" -ne 0 ]; then 
+    error "请使用 sudo 运行此脚本"
+    exit 1
+fi
+
+# 确保在有效目录下执行，避免 getcwd 报错
+cd /
+
+# 检查是否强制续期
+FORCE_RENEW=false
+
+# 阿里云 API 凭证
+ALI_KEY=""
+ALI_SECRET=""
+
+# 解析命令行参数
+while [[ $# -gt 0 ]]; do
+    case $1 in
+        --force)
+            FORCE_RENEW=true
+            log "强制续期模式"
+            shift
+            ;;
+        --ali-key)
+            if [ -n "$2" ]; then
+                ALI_KEY="$2"
+                shift 2
+            else
+                shift
+            fi
+            ;;
+        --ali-secret)
+            if [ -n "$2" ]; then
+                ALI_SECRET="$2"
+                shift 2
+            else
+                shift
+            fi
+            ;;
+        *)
+            shift
+            ;;
+    esac
+done
+
+# 检查阿里云 API 凭证（优先使用参数，其次使用环境变量）
+if [ -z "$ALI_KEY" ]; then
+    ALI_KEY="$Ali_Key"
+fi
+if [ -z "$ALI_SECRET" ]; then
+    ALI_SECRET="$Ali_Secret"
+fi
+
+# 如果提供了凭证，设置环境变量供 acme.sh 使用
+if [ -n "$ALI_KEY" ] && [ -n "$ALI_SECRET" ]; then
+    export Ali_Key="$ALI_KEY"
+    export Ali_Secret="$ALI_SECRET"
+fi
+
+# 检查 acme.sh 是否安装
+ACME_SH_HOME="$HOME/.acme.sh"
+if [ ! -f "$ACME_SH_HOME/acme.sh" ]; then
+    error "acme.sh 未安装，请先运行 setup-ssl.sh"
+    exit 1
+fi
+
+# 确保 acme.sh 在 PATH 中
+export PATH="$HOME/.acme.sh:$PATH"
+
+# 检查 acme.sh 是否可用
+if ! command -v acme.sh >/dev/null 2>&1; then
+    ACME_CMD="$ACME_SH_HOME/acme.sh"
+else
+    ACME_CMD="acme.sh"
+fi
+
+# 检查证书到期时间的函数
+check_cert_expiry() {
+    local domain=$1
+    local cert_file="/etc/nginx/ssl/${domain}.crt"
+    
+    if [ ! -f "$cert_file" ]; then
+        warning "证书文件不存在: $cert_file"
+        return 1
+    fi
+    
+    # 获取证书到期时间（Unix 时间戳）
+    local expiry_timestamp=$(openssl x509 -in "$cert_file" -noout -enddate 2>/dev/null | cut -d= -f2 | xargs -I {} date -d {} +%s 2>/dev/null || openssl x509 -in "$cert_file" -noout -enddate 2>/dev/null | cut -d= -f2 | xargs -I {} date -j -f "%b %d %H:%M:%S %Y %Z" {} +%s 2>/dev/null)
+    
+    if [ -z "$expiry_timestamp" ]; then
+        warning "无法读取证书到期时间: $cert_file"
+        return 1
+    fi
+    
+    # 当前时间戳
+    local current_timestamp=$(date +%s)
+    
+    # 计算剩余天数
+    local days_remaining=$(( ($expiry_timestamp - $current_timestamp) / 86400 ))
+    
+    echo "$days_remaining"
+    return 0
+}
+
+# 续期证书的函数
+renew_cert() {
+    local domain=$1
+    local cert_file="/etc/nginx/ssl/${domain}.crt"
+    
+    log "检查 $domain 证书..."
+    
+    if [ ! -f "$cert_file" ]; then
+        warning "证书文件不存在: $cert_file，跳过续期"
+        return 1
+    fi
+    
+    # 检查证书到期时间
+    local days_remaining=$(check_cert_expiry "$domain")
+    
+    if [ -z "$days_remaining" ] || [ "$days_remaining" -lt 0 ]; then
+        warning "$domain 证书已过期或无法读取，尝试续期..."
+    elif [ "$days_remaining" -gt 30 ] && [ "$FORCE_RENEW" = false ]; then
+        log "$domain 证书还有 $days_remaining 天到期，无需续期（使用 --force 强制续期）"
+        return 0
+    elif [ "$days_remaining" -gt 30 ] && [ "$FORCE_RENEW" = true ]; then
+        log "$domain 证书还有 $days_remaining 天到期，强制续期..."
+    else
+        log "$domain 证书还有 $days_remaining 天到期，开始续期..."
+    fi
+    
+    # 执行续期
+    if [ -f "$ACME_SH_HOME/acme.sh" ]; then
+        "$ACME_SH_HOME/acme.sh" --renew -d "$domain" --force
+    else
+        $ACME_CMD --renew -d "$domain" --force
+    fi
+    
+    if [ $? -eq 0 ]; then
+        log "$domain 证书续期成功"
+        
+        # 重新安装证书到 nginx（确保使用最新的证书）
+        log "重新安装 $domain 证书到 nginx..."
+        if [ -f "$ACME_SH_HOME/acme.sh" ]; then
+            "$ACME_SH_HOME/acme.sh" --install-cert \
+                -d "$domain" \
+                --key-file /etc/nginx/ssl/${domain}.key \
+                --fullchain-file /etc/nginx/ssl/${domain}.crt \
+                --reloadcmd "systemctl reload nginx || true"
+        else
+            $ACME_CMD --install-cert \
+                -d "$domain" \
+                --key-file /etc/nginx/ssl/${domain}.key \
+                --fullchain-file /etc/nginx/ssl/${domain}.crt \
+                --reloadcmd "systemctl reload nginx || true"
+        fi
+        
+        # 设置证书文件权限
+        chmod 600 /etc/nginx/ssl/${domain}.key
+        chmod 644 /etc/nginx/ssl/${domain}.crt
+        chown root:root /etc/nginx/ssl/${domain}.key
+        chown root:root /etc/nginx/ssl/${domain}.crt
+        
+        return 0
+    else
+        error "$domain 证书续期失败"
+        return 1
+    fi
+}
+
+log "开始检查证书续期..."
+
+# 从 domains.txt 读取域名列表
+DOMAINS_FILE_PATH=$(get_domains_file 2>/dev/null) || true
+if [ -z "$DOMAINS_FILE_PATH" ] || [ ! -f "$DOMAINS_FILE_PATH" ]; then
+    error "无法找到域名列表 domains.txt，请先执行 n2-deploy init 或 n2-deploy ssl 根据配置生成"
+    exit 1
+fi
+
+# 续期所有域名证书（证书不存在时跳过）
+# 任一失败则脚本以非零退出，便于上层 fallback 到申请新证书
+RENEW_FAILED=0
+while IFS= read -r domain || [ -n "$domain" ]; do
+    domain=$(echo "$domain" | tr -d '\r')
+    [ -z "$domain" ] && continue
+    echo "$domain" | grep -q '^#' && continue
+    renew_cert "$domain" || RENEW_FAILED=1
+done < <(read_domains_list)
+
+# 测试 nginx 配置
+log "测试 nginx 配置..."
+if nginx -t; then
+    log "Nginx 配置验证成功"
+    # 重新加载 nginx
+    if systemctl is-active --quiet nginx 2>/dev/null; then
+        log "重新加载 Nginx..."
+        systemctl reload nginx || warning "Nginx 重新加载失败，请手动检查"
+    fi
+else
+    error "Nginx 配置验证失败，请检查配置文件"
+    exit 1
+fi
+
+log ""
+log "证书续期检查完成！"
+log ""
+log "提示："
+log "  - acme.sh 已自动配置 cron 任务，证书将在到期前 30 天自动续期"
+log "  - 可以通过 'crontab -l' 查看续期任务"
+log "  - 使用 '--force' 参数可以强制续期所有证书"
+
+exit $RENEW_FAILED