自动管理证书、dkim 和域更新的软件。
项目描述
加密域管理器
自动化您的所有加密需求!
目标
- 零停机时间
- 自动证书更新
- 垃圾邮件防护
- 更新的 DNS 记录
配置一次并始终保持最新状态。
用例
- 更新letsencrypt证书
- 从签名中导出各种数据
- 确保一切安全
外部服务 API
- 域证书:letsencrypt.org
- DNS 记录更新:inwx.de
Linux 服务
- DKIM 签名:
- 垃圾邮件
- 重新加载 systemd 服务:
- 阿帕奇2
- 后缀
- 鸽舍
- 垃圾邮件
- Docker中的traefik
托管 DNS 记录
- TLSA - 用于命名实体DANE的基于 DNS 的身份验证
- DKIM - 用于电子邮件签名和垃圾邮件检测的域密钥
- CAA - 指定 CA
- DMARC、SPF、ADSP - 配置安全 DNS
无停机策略
更新密钥、证书和其他需要 3 个步骤来防止可用性差距:
- 准备:创建证书、密钥等并将相应的记录发布到 DNS。
- Rollover:应用新的证书和密钥,因为现在已达到 DNS 上的负缓存 TTL。
- 清理:从磁盘和 DNS 中删除所有不再需要的东西。
需要的插件和依赖项
- dnsuptools:与 DNS API 交互——更新 DNS 条目
- 脱水:获取新证书(包含在 cryptdomainmgr 中)
- rspamd:创建(和使用)DKIM 密钥
安装
dnsuptools 用于自动 ip 检索的 pycurl 需要这些库:
apt install -y libcurl4-openssl-dev libssl-dev
dehydrated 使用此命令与letsencrypt 进行通信以进行证书更新:
apt install -y curl
对于 DKIM,我们需要 rspamd:
apt install -y lsb-release wget # optional
CODENAME=`lsb_release -c -s`
wget -O- https://rspamd.com/apt-stable/gpg.key | apt-key add -
echo "deb [arch=amd64] http://rspamd.com/apt-stable/ $CODENAME main" > /etc/apt/sources.list.d/rspamd.list
echo "deb-src [arch=amd64] http://rspamd.com/apt-stable/ $CODENAME main" >> /etc/apt/sources.list.d/rspamd.list
apt update
apt install -y rspamd
现在安装 cryptdomainmgr。这会拉动所有需要的依赖项。
python2 -m pip install cryptdomainmgr
随意尝试python3,但inwx客户端不支持。
python3 -m pip install cryptdomainmgr
文档
我们在这里需要帮助!
现在请看:
- 德语项目描述和教程:https ://www.entroserv.de/offene-software/cryptdomainmgr
- 幻灯片:https ://github.com/TheTesla/cryptdomainmgr-talk
- 查看配置文件示例
提示:
- 允许具有优先级的多个配置文件
- 指定配置文件内容的内容作为参数
下一个目标
- 改进文档
- 码头工人支持 - 部分完成,待办事项:需要标签处理,不需要外部外壳剥离的守护程序模式
- 网站
- 自动化测试 - 部分完成
- nsupdate 用于 DNS 更新
长期目标:
- ARC 密钥更新
- WPIA 集成
- DNSSEC 密钥续订
- TXT 记录(可能与 SPF 和其他基于 TXT 的记录冲突)
- 一个域的多服务器支持:TLSA 超时删除
- 约束最小更新/阶段时间间隔
- 验证 - 确保正确使用签名
- 作为服务运行
- PowerDNS 支持
贡献
如果你喜欢这个项目,请随时给我一颗星。如果您使用这个项目,请告诉我们。
欢迎各种贡献。
