test.sh

   1 #!/usr/bin/env bash
   2
   3 # Fail early
   4 set -eu -o pipefail
   5
   6 # Check if running in CI environment
   7 if [[ ! "${CI:-false}" == "true" ]]; then
   8   echo "ERROR: Not running in CI environment!"
   9   exit 1
  10 fi
  11
  12 _TEST() {
  13   echo
  14   echo "${1} "
  15 }
  16 _SUBTEST() {
  17   echo -n " + ${1} "
  18 }
  19 _PASS() {
  20   echo -e "[\u001B[32mPASS\u001B[0m]"
  21 }
  22 _FAIL() {
  23   echo -e "[\u001B[31mFAIL\u001B[0m]"
  24   echo
  25   echo "Problem: ${@}"
  26   echo
  27   echo "STDOUT:"
  28   cat tmplog
  29   echo
  30   echo "STDERR:"
  31   cat errorlog
  32   exit 1
  33 }
  34 _CHECK_FILE() {
  35   _SUBTEST "Checking if file '${1}' exists..."
  36   if [[ -e "${1}" ]]; then
  37     _PASS
  38   else
  39     _FAIL "Missing file: ${1}"
  40   fi
  41 }
  42 _CHECK_LOG() {
  43   _SUBTEST "Checking if log contains '${1}'..."
  44   if grep -- "${1}" tmplog > /dev/null; then
  45     _PASS
  46   else
  47     _FAIL "Missing in log: ${1}"
  48   fi
  49 }
  50 _CHECK_NOT_LOG() {
  51   _SUBTEST "Checking if log doesn't contain '${1}'..."
  52   if grep -- "${1}" tmplog > /dev/null; then
  53     _FAIL "Found in log: ${1}"
  54   else
  55     _PASS
  56   fi
  57 }
  58 _CHECK_ERRORLOG() {
  59   _SUBTEST "Checking if errorlog is empty..."
  60   if [[ -z "$(cat errorlog)" ]]; then
  61     _PASS
  62   else
  63     _FAIL "Non-empty errorlog"
  64   fi
  65 }
  66
  67 # If not found (should be cached in travis) download ngrok
  68 if [[ ! -e "ngrok/ngrok" ]]; then
  69   (
  70     mkdir -p ngrok
  71     cd ngrok
  72     wget https://dl.ngrok.com/ngrok_2.0.19_linux_amd64.zip -O ngrok.zip
  73     unzip ngrok.zip ngrok
  74     chmod +x ngrok
  75   )
  76 fi
  77
  78 # Run ngrok and grab temporary url from logfile
  79 ngrok/ngrok http 8080 --log stdout --log-format logfmt --log-level debug > tmp.log &
  80 ngrok/ngrok http 8080 --log stdout --log-format logfmt --log-level debug > tmp2.log &
  81 ngrok/ngrok http 8080 --log stdout --log-format logfmt --log-level debug > tmp3.log &
  82 sleep 2
  83 TMP_URL="$(grep -Eo "Hostname:[a-z0-9]+.ngrok.io" tmp.log | head -1 | cut -d':' -f2)"
  84 TMP2_URL="$(grep -Eo "Hostname:[a-z0-9]+.ngrok.io" tmp2.log | head -1 | cut -d':' -f2)"
  85 TMP3_URL="$(grep -Eo "Hostname:[a-z0-9]+.ngrok.io" tmp3.log | head -1 | cut -d':' -f2)"
  86 if [[ -z "${TMP_URL}" ]] || [[ -z "${TMP2_URL}" ]] || [[ -z "${TMP3_URL}" ]]; then
  87   echo "Couldn't get an url from ngrok, not a letsencrypt.sh bug, tests can't continue."
  88   exit 1
  89 fi
  90
  91 # Run python webserver in .acme-challenges directory to serve challenge responses
  92 mkdir -p .acme-challenges/.well-known/acme-challenge
  93 (
  94   cd .acme-challenges
  95   python -m SimpleHTTPServer 8080 > /dev/null 2> /dev/null
  96 ) &
  97
  98 # Generate config and create empty domains.txt
  99 echo 'CA="https://testca.kurz.pw/directory"' > config
 100 echo 'LICENSE="https://testca.kurz.pw/terms/v1"' >> config
 101 echo 'WELLKNOWN=".acme-challenges/.well-known/acme-challenge"' >> config
 102 echo 'RENEW_DAYS="14"' >> config
 103 touch domains.txt
 104
 105 # Check if help command is working
 106 _TEST "Checking if help command is working..."
 107 ./letsencrypt.sh --help > tmplog 2> errorlog || _FAIL "Script execution failed"
 108 _CHECK_LOG "Default command: help"
 109 _CHECK_LOG "--help (-h)"
 110 _CHECK_LOG "--domain (-d) domain.tld"
 111 _CHECK_ERRORLOG
 112
 113 # Run in cron mode with empty domains.txt (should only generate private key and exit)
 114 _TEST "First run in cron mode, checking if private key is generated and registered"
 115 ./letsencrypt.sh --cron > tmplog 2> errorlog || _FAIL "Script execution failed"
 116 _CHECK_LOG "Registering account key"
 117 _CHECK_FILE "private_key.pem"
 118 _CHECK_ERRORLOG
 119
 120 # Temporarily move config out of the way and try signing certificate by using temporary config location
 121 _TEST "Try signing using temporary config location and with domain as command line parameter"
 122 mv config tmp_config
 123 ./letsencrypt.sh --cron --domain "${TMP_URL}" --domain "${TMP2_URL}" -f tmp_config > tmplog 2> errorlog || _FAIL "Script execution failed"
 124 _CHECK_NOT_LOG "Checking domain name(s) of existing cert"
 125 _CHECK_LOG "Generating private key"
 126 _CHECK_LOG "Requesting challenge for ${TMP_URL}"
 127 _CHECK_LOG "Requesting challenge for ${TMP2_URL}"
 128 _CHECK_LOG "Challenge is valid!"
 129 _CHECK_LOG "Creating fullchain.pem"
 130 _CHECK_LOG "Done!"
 131 _CHECK_ERRORLOG
 132 mv tmp_config config
 133
 134 # Move private key and add new location to config
 135 mv private_key.pem account_key.pem
 136 echo 'PRIVATE_KEY="./account_key.pem"' >> config
 137
 138 # Add third domain to command-lime, should force renewal.
 139 _TEST "Run in cron mode again, this time adding third domain, should force renewal."
 140 ./letsencrypt.sh --cron --domain "${TMP_URL}" --domain "${TMP2_URL}" --domain "${TMP3_URL}" > tmplog 2> errorlog || _FAIL "Script execution failed"
 141 _CHECK_LOG "Domain name(s) are not matching!"
 142 _CHECK_LOG "Forcing renew."
 143 _CHECK_LOG "Generating private key"
 144 _CHECK_LOG "Requesting challenge for ${TMP_URL}"
 145 _CHECK_LOG "Requesting challenge for ${TMP2_URL}"
 146 _CHECK_LOG "Requesting challenge for ${TMP3_URL}"
 147 _CHECK_LOG "Challenge is valid!"
 148 _CHECK_LOG "Creating fullchain.pem"
 149 _CHECK_LOG "Done!"
 150 _CHECK_ERRORLOG
 151
 152 # Prepare domains.txt
 153 # Modify TMP3_URL to be uppercase to check for upper-lower-case mismatch bugs
 154 echo "${TMP_URL} ${TMP2_URL} $(tr 'a-z' 'A-Z' <<<"${TMP3_URL}")" >> domains.txt
 155
 156 # Run in cron mode again (should find a non-expiring certificate and do nothing)
 157 _TEST "Run in cron mode again, this time with domain in domains.txt, should find non-expiring certificate"
 158 ./letsencrypt.sh --cron > tmplog 2> errorlog || _FAIL "Script execution failed"
 159 _CHECK_LOG "Checking domain name(s) of existing cert... unchanged."
 160 _CHECK_LOG "Skipping renew"
 161 _CHECK_ERRORLOG
 162
 163 # Disable private key renew
 164 echo 'PRIVATE_KEY_RENEW="no"' >> config
 165
 166 # Run in cron mode one last time, with domain in domains.txt and force-resign (should find certificate, resign anyway, and not generate private key)
 167 _TEST "Run in cron mode one last time, with domain in domains.txt and force-resign"
 168 ./letsencrypt.sh --cron --force > tmplog 2> errorlog || _FAIL "Script execution failed"
 169 _CHECK_LOG "Checking domain name(s) of existing cert... unchanged."
 170 _CHECK_LOG "Ignoring because renew was forced!"
 171 _CHECK_NOT_LOG "Generating private key"
 172 _CHECK_LOG "Requesting challenge for ${TMP_URL}"
 173 _CHECK_LOG "Requesting challenge for ${TMP2_URL}"
 174 _CHECK_LOG "Requesting challenge for ${TMP3_URL}"
 175 _CHECK_LOG "Challenge is valid!"
 176 _CHECK_LOG "Creating fullchain.pem"
 177 _CHECK_LOG "Done!"
 178 _CHECK_ERRORLOG
 179
 180 # Check if signcsr command is working
 181 _TEST "Running signcsr command"
 182 ./letsencrypt.sh --signcsr certs/${TMP_URL}/cert.csr > tmplog 2> errorlog || _FAIL "Script execution failed"
 183 _CHECK_LOG "BEGIN CERTIFICATE"
 184 _CHECK_LOG "END CERTIFICATE"
 185 _CHECK_NOT_LOG "ERROR"
 186
 187 # Delete account key (not needed anymore)
 188 rm account_key.pem
 189
 190 # Check if renewal works
 191 _TEST "Run in cron mode again, to check if renewal works"
 192 echo 'RENEW_DAYS="300"' >> config
 193 ./letsencrypt.sh --cron > tmplog 2> errorlog || _FAIL "Script execution failed"
 194 _CHECK_LOG "Checking domain name(s) of existing cert... unchanged."
 195 _CHECK_LOG "Renewing!"
 196 _CHECK_ERRORLOG
 197
 198 # Check if certificate is valid in various ways
 199 _TEST "Verifying certificate..."
 200 _SUBTEST "Verifying certificate on its own..."
 201 openssl x509 -in "certs/${TMP_URL}/cert.pem" -noout -text > tmplog 2> errorlog && _PASS || _FAIL
 202 _CHECK_LOG "CN=${TMP_URL}"
 203 _CHECK_LOG "${TMP2_URL}"
 204 _SUBTEST "Verifying file with full chain..."
 205 openssl x509 -in "certs/${TMP_URL}/fullchain.pem" -noout -text > /dev/null 2>> errorlog && _PASS || _FAIL
 206 _SUBTEST "Verifying certificate against CA certificate..."
 207 (openssl verify -verbose -CAfile "certs/${TMP_URL}/fullchain.pem" -purpose sslserver "certs/${TMP_URL}/fullchain.pem" 2>&1 || true) | (grep -v ': OK$' || true) >> errorlog 2>> errorlog && _PASS || _FAIL
 208 _CHECK_ERRORLOG
 209
 210 # Revoke certificate using certificate key
 211 _TEST "Revoking certificate..."
 212 ./letsencrypt.sh --revoke "certs/${TMP_URL}/cert.pem" --privkey "certs/${TMP_URL}/privkey.pem" > tmplog 2> errorlog || _FAIL "Script execution failed"
 213 REAL_CERT="$(readlink -n "certs/${TMP_URL}/cert.pem")"
 214 _CHECK_LOG "Revoking certs/${TMP_URL}/${REAL_CERT}"
 215 _CHECK_LOG "Done."
 216 _CHECK_FILE "certs/${TMP_URL}/${REAL_CERT}-revoked"
 217 _CHECK_ERRORLOG
 218
 219 # Test cleanup command
 220 _TEST "Cleaning up certificates"
 221 ./letsencrypt.sh --cleanup > tmplog 2> errorlog || _FAIL "Script execution failed"
 222 _CHECK_LOG "Moving unused file to archive directory: ${TMP_URL}/cert-"
 223 _CHECK_LOG "Moving unused file to archive directory: ${TMP_URL}/chain-"
 224 _CHECK_LOG "Moving unused file to archive directory: ${TMP_URL}/fullchain-"
 225 _CHECK_ERRORLOG
 226
 227 # All done
 228 exit 0