专门网论坛

 找回密码
 立即注册

新浪微博登陆

只需一步, 快速开始

【天天数码】X280 T480 T480S X1蜗牛最新双12促销 点我【广告位咨询】 QQ:755851098玖伍鑫二手笔记本电脑专门网17周年定制快客杯
查看: 5598|回复: 12

【原创】群晖安装并自动续期Let’s Encrypt SSL证书

[复制链接] [ 502字 ]

初级会员 Rank: 2Rank: 2

帖子
4299
积分
1.4
技术分
0.6 分
资产值
9034 nb
联谊分
0 分
注册时间
2006-6-16
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)
发表于 2017-7-14 10:32:26 | 显示全部楼层 |阅读模式
本帖最后由 rainsun 于 2017-7-14 11:11 编辑

Let’s Encrypt和SSL是干什么的自己搜索去
群晖6.0以后集成了Let’s Encrypt证书签发,但需要开放80端口来进行认证,对于天朝人个网络只能呵呵了。
本文采用acme.sh 脚本,该脚本实现了 acme 协议, 可以从 letsencrypt 生成免费的证书
开源地址:https://github.com/Neilpang/acme.sh
脚本的好处就是不依赖任何第三方库
acme.sh主要是通过DNS API自动修改TXT来进行域名认证签发的,不需要开放80端口,前提是要域名服务商支持DNS API
由于我的域名是托管在google上的,acme.sh没有对应dns api脚本,所以这里介绍的是的手动添加txt记录的方法

1.安装 acme.sh
  1. wget https://github.com/Neilpang/acme.sh/archive/master.tar.gz
  2. tar xvf master.tar.gz
  3. cd acme.sh-master/
  4. chmod a+x acme.sh
复制代码
我是安装到/volume1/web/challenges/acme.sh目录
  1. ./acme.sh --install --nocron --home "/volume1/web/challenges/acme.sh"
复制代码
运行测试看看是否正常
  1. cd /volume1/web/challenges/acme.sh

  2. /volume1/web/challenges/acme.sh/acme.sh --home "/volume1/web/challenges/acme.sh"
复制代码
如果没有错误表示ok了

2.生成TXT值
生成证书和txt值,多个域名的在后面加上-d example.com即可
  1. ./acme.sh --home "/volume1/web/challenges" --issue --dns -d example.com -d www.example.com -d www.example.com
复制代码

执行完成后会有类似以下信息
  1. Add the following txt record:
  2. Domain:_acme-challenge.example.com
  3. Txt value:9ihDbjYfTExAYeDs4DBUeuTo18KBzwvTEjUnSwd32-c

  4. Add the following txt record:
  5. Domain:_acme-challenge.www.example.com
  6. Txt value:9ihDbjxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

  7. Please add those txt records to the domains. Waiting for the dns to take effect.
复制代码
根据上面的提示手动添加域名TXT记录,DNS刷新生效1分~48小时不等,google的1分钟就生效了

等TXT记录生效后执行更新证书
  1. ./acme.sh --home "/volume1/web/challenges" --renew -d example.com -d www.example.com
复制代码
签发完成后到/volume1/web/challenges对应的域名目录下把证书取下以下两个文件,到DSM证书管理手动导入即可
私钥:example.com.key
证书:example.com.cer


3.自动更新安装证书
上面的需要手动导入证书,下面介绍自动的

自动续签证书,创建一个.txt文件,内容如下,重命名为renew_ssl.sh,上传到DSM
  1. /volume1/web/challenges/acme.sh/acme.sh --home "/volume1/web/challenges" --renew --force -d example.com -d www.example.com
复制代码
自动安装证书,创建一个.txt文件,内容如下,重命名为install_ssl.sh,上传到DSM
  1. /volume1/web/challenges/acme.sh/acme.sh --home /volume1/web/challenges --installcert -d aichh.com --certpath /usr/syno/etc/certificate/_archive/proxYn/cert.pem --keypath /usr/syno/etc/certificate/_archive/proxYn/privkey.pem --fullchainpath /usr/syno/etc/certificate/_archive/proxYn/fullchain.pem --capath /usr/syno/etc/certificate/_archive/proxYn/chain.pem --reloadcmd

  2. rsync -avzh /usr/syno/etc/certificate/_archive/proxYn/ /usr/syno/etc/certificate/system/default/

  3. /usr/syno/etc/rc.sysv/nginx.sh reload
复制代码


到DSM计划任务里新增两个自定义脚本任务,任务设置里把上面的脚本完整路径填上
设置为每月执行一次,renew_ssl.sh要先于install_ssl.sh,两个脚本最好有10分钟以上时间差。
补图

1.PNG

1.5.PNG

2.PNG

3.PNG

完了,要了解更多请移步官网

验证下,SSL安全性如何:
https://myssl.com





初级会员 Rank: 2Rank: 2

帖子
1179
积分
1.4
技术分
0 分
资产值
25089 nb
联谊分
0 分
注册时间
2006-1-16
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)
发表于 2017-7-14 10:45:50 | 显示全部楼层
如果是原创的话赞!!!
回复 支持 反对

使用道具 举报

管理员 Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

帖子
99279
积分
162.9
技术分
153 分
资产值
31574 nb
联谊分
2 分
注册时间
2001-11-20
金牌荣誉勋章(注册10年以上会员)
发表于 2017-7-14 10:54:52 | 显示全部楼层
我是用cerbot。。
回复 支持 反对

使用道具 举报

入门会员 Rank: 1

帖子
4753
积分
0.9
技术分
0 分
资产值
7834 nb
联谊分
0.1 分
注册时间
2006-2-26
月全勤勋章银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)
发表于 2017-7-14 11:07:00 | 显示全部楼层
一眼看过去还没看懂,先mark下~

黑群晖有用吗?
回复 支持 反对

使用道具 举报

初级会员 Rank: 2Rank: 2

帖子
4299
积分
1.4
技术分
0.6 分
资产值
9034 nb
联谊分
0 分
注册时间
2006-6-16
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2017-7-14 11:08:43 | 显示全部楼层
QUOTE:
只在夜半飞 发表于 2017-7-14 11:07
一眼看过去还没看懂,先mark下~

黑群晖有用吗?

看需求了,对我来说有用
回复 支持 反对

使用道具 举报

初级会员 Rank: 2Rank: 2

帖子
2704
积分
1.8
技术分
0 分
资产值
31490 nb
联谊分
0 分
注册时间
2004-6-21
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)月全勤勋章
发表于 2017-7-14 11:08:51 | 显示全部楼层
NAS用证书有什么作用?
回复 支持 反对

使用道具 举报

初级会员 Rank: 2Rank: 2

帖子
4299
积分
1.4
技术分
0.6 分
资产值
9034 nb
联谊分
0 分
注册时间
2006-6-16
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2017-7-14 11:10:11 | 显示全部楼层
本帖最后由 rainsun 于 2017-7-14 11:12 编辑
QUOTE:
HOPE 发表于 2017-7-14 10:54
我是用cerbot。。

这个要安装python
回复 支持 反对

使用道具 举报

管理员 Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

帖子
99279
积分
162.9
技术分
153 分
资产值
31574 nb
联谊分
2 分
注册时间
2001-11-20
金牌荣誉勋章(注册10年以上会员)
发表于 2017-7-14 11:11:42 | 显示全部楼层
QUOTE:
rainsun 发表于 2017-7-14 11:10
论坛不是Symantec签发的吗

不止一个域名呢,呵呵。还有thinkpad.cn, thinkpad.com.cn, ibmnb.com都在用。
回复 支持 反对

使用道具 举报

初级会员 Rank: 2Rank: 2

帖子
4299
积分
1.4
技术分
0.6 分
资产值
9034 nb
联谊分
0 分
注册时间
2006-6-16
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2017-7-14 11:14:09 | 显示全部楼层
QUOTE:
HOPE 发表于 2017-7-14 11:11
不止一个域名呢,呵呵。还有thinkpad.cn, thinkpad.com.cn, ibmnb.com都在用。

土豪用收费证书,我这只用免费的证书
回复 支持 反对

使用道具 举报

初级会员 Rank: 2Rank: 2

帖子
2704
积分
1.8
技术分
0 分
资产值
31490 nb
联谊分
0 分
注册时间
2004-6-21
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)月全勤勋章
发表于 2017-7-14 11:16:34 | 显示全部楼层
NAS装证书有什么作用?
回复 支持 反对

使用道具 举报

初级会员 Rank: 2Rank: 2

帖子
4299
积分
1.4
技术分
0.6 分
资产值
9034 nb
联谊分
0 分
注册时间
2006-6-16
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)
 楼主| 发表于 2017-7-14 11:17:35 | 显示全部楼层
QUOTE:
tsens 发表于 2017-7-14 11:08
NAS用证书有什么作用?

就因为喜欢看绿色的锁和安全这两个字

捕获.PNG
回复 支持 反对

使用道具 举报

管理员 Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

帖子
99279
积分
162.9
技术分
153 分
资产值
31574 nb
联谊分
2 分
注册时间
2001-11-20
金牌荣誉勋章(注册10年以上会员)
发表于 2017-7-14 11:22:44 | 显示全部楼层
QUOTE:
rainsun 发表于 2017-7-14 11:14
土豪用收费证书,我这只用免费的证书

我是用的免费证书呢。
Let’s Encrypt三个月更新一次,Symantec一年。
回复 支持 反对

使用道具 举报

初级会员 Rank: 2Rank: 2

帖子
2704
积分
1.8
技术分
0 分
资产值
31490 nb
联谊分
0 分
注册时间
2004-6-21
银牌荣誉勋章(注册8年以上会员)金牌荣誉勋章(注册10年以上会员)月全勤勋章
发表于 2017-7-14 23:25:32 | 显示全部楼层
QUOTE:
HOPE 发表于 2017-7-14 11:22
我是用的免费证书呢。
Let’s Encrypt三个月更新一次,Symantec一年。

老大,证书有什么用啊
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Powered by Discuz! X3.2 © 2001-2018 Comsenz Inc & 51nb.com

GMT+8, 2018-12-16 11:56 , Processed in 0.075818 second(s), 69 queries , Gzip On, OPcache On, Redis On.

手机版|小黑屋|客户端|Archiver|||专门网 ( 粤B2-20050246 )

返回顶部