vcard4reseller/backend/src/Controller/TlsCheckController.php

<?php

namespace App\Controller;

use App\Repository\DomainRepository;
use Symfony\Component\DependencyInjection\Attribute\Autowire;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Routing\Attribute\Route;

/**
 * On-Demand-TLS-Autorisierung für Caddy (KONZEPT §11): Caddy fragt vor dem
 * Ausstellen eines Let's-Encrypt-Zertifikats hier nach, ob die Domain erlaubt ist.
 * Erlaubt = Portal-Domain oder eine verifizierte Custom-Domain aus der DB.
 * 200 → ausstellen, sonst ablehnen (verhindert unbegrenzte Zertifikatsanfragen).
 */
final class TlsCheckController
{
    public function __construct(
        #[Autowire('%env(APP_PORTAL_DOMAIN)%')]
        private readonly string $portalDomain,
    ) {
    }

    #[Route('/internal/tls-allowed', name: 'tls_allowed', methods: ['GET'])]
    public function __invoke(Request $request, DomainRepository $domains): Response
    {
        $host = strtolower(trim((string) $request->query->get('domain')));
        if ('' === $host) {
            return new Response('missing domain', 400);
        }

        $portal = strtolower($this->portalDomain);
        if ($host === $portal || $host === 'www.'.$portal) {
            return new Response('ok', 200);
        }

        if (null !== $domains->findVerifiedByHostname($host)) {
            return new Response('ok', 200);
        }

        return new Response('not allowed', 403);
    }
}