Sys_Bot — Telegram-бот, который я создал для упрощения управления доменами и задач безопасности. Он объединяет управление DNS через Cloudflare, автоматизацию SSL-сертификатов Let’s Encrypt с DNS-01 челленджами, управление чёрными списками с HMAC-защитой API и регистрацию пользователей с одобрением администратора — всё через интуитивный Telegram-интерфейс. Этот Cloudflare Telegram бот исключает необходимость заходить в разные дашборды для рутинных инфраструктурных задач.
Зачем Cloudflare Telegram бот
Управление DNS-записями, SSL-сертификатами и чёрными списками безопасности по нескольким доменам — это жонглирование дашбордом Cloudflare, CLI certbot и различными API. Мне нужен единый интерфейс, доступный с телефона, которым может пользоваться команда с правильным контролем доступа. Telegram — естественный выбор: всегда доступен, поддерживает передачу файлов для сертификатов, inline-клавиатуры дают чистый UX.
Ключевые возможности
- Cloudflare DNS — добавление, обновление, удаление, просмотр TXT-записей. Восстановление домена через Cloudflare API
- Let’s Encrypt SSL — полная автоматизация: ACME-клиент, DNS-01 челленджи, генерация .key + .cer, создание PKCS#12 .pfx для импорта в IIS
- Чёрные списки — просмотр и добавление доменов с HMAC-подписью API
- Контроль доступа — регистрация, одобрение администратором через inline-кнопки, ролевой доступ
- Безопасная доставка файлов — .key, .cer, .pfx прямо авторизованным пользователям в Telegram
Автоматизация SSL-сертификатов
Интеграция с Let’s Encrypt — самая ценная функция. Бот проходит весь ACME-флоу: создаёт DNS-01 challenge TXT-запись в Cloudflare, ждёт пропагации, валидирует с Let’s Encrypt, скачивает сертификат, генерирует PFX с безопасным паролем и отправляет всё запрашивающему админу через Telegram. Процесс на 15 минут стал одним нажатием кнопки.
Стек технологий
- Runtime: Node.js + Telegraf
- API: Cloudflare (DNS), Let’s Encrypt ACME, кастомный API чёрных списков
- Крипто: node-forge для PFX, HMAC для безопасности API
- Деплой: Docker + Docker Compose
Практическое применение
Как внештатный CTO я управляю инфраструктурой нескольких клиентов. Бот работает на центральном сервере и обрабатывает DNS-операции для всех управляемых доменов. Система контроля доступа позволяет дать конкретным членам команды возможность выпускать сертификаты или управлять DNS без доступа к дашборду Cloudflare — критический аспект безопасности.
Исходный код доступен по запросу. Свяжитесь со мной для доступа или консультации по автоматизации инфраструктуры.
FAQ
Как автоматизация SSL обрабатывает пропагацию DNS?
После создания TXT-записи через Cloudflare API бот опрашивает DNS-резолверы до завершения пропагации, затем запускает ACME-валидацию. Весь процесс обычно занимает 1-3 минуты.
Могут ли несколько пользователей управлять разными доменами?
Да. Система регистрации с одобрением администратора обеспечивает гранулярный контроль доступа.
PFX-файл безопасен при передаче?
PFX генерируется с уникальным паролем и отправляется через шифрованный транспорт Telegram. Пароль сообщается отдельно. Файлы не хранятся на диске после доставки.
Поддерживает ли wildcard-сертификаты?
Да. DNS-01 челленджи нативно поддерживают wildcard — одна из причин выбора этого подхода вместо HTTP-01.
