【原创】群晖安装并自动续期Let’s Encrypt SSL证书

rainsun

Let’s Encrypt和SSL是干什么的自己搜索去
群晖6.0以后集成了Let’s Encrypt证书签发，但需要开放80端口来进行认证，对于天朝人个网络只能呵呵了。
本文采用acme.sh 脚本，该脚本实现了 acme 协议, 可以从 letsencrypt 生成免费的证书
开源地址：https://github.com/Neilpang/acme.sh
脚本的好处就是不依赖任何第三方库
acme.sh主要是通过DNS API自动修改TXT来进行域名认证签发的，不需要开放80端口，前提是要域名服务商支持DNS API
由于我的域名是托管在google上的，acme.sh没有对应dns api脚本,所以这里介绍的是的手动添加txt记录的方法

1.安装 acme.sh

1. wget https://github.com/Neilpang/acme.sh/archive/master.tar.gz
   
2. tar xvf master.tar.gz
   
3. cd acme.sh-master/
   
4. chmod a+x acme.sh

复制代码

我是安装到/volume1/web/challenges/acme.sh目录

1. ./acme.sh --install --nocron --home "/volume1/web/challenges/acme.sh"

复制代码

运行测试看看是否正常

1. cd /volume1/web/challenges/acme.sh
   
2. 
   
3. /volume1/web/challenges/acme.sh/acme.sh --home "/volume1/web/challenges/acme.sh"

复制代码

如果没有错误表示ok了

2.生成TXT值
生成证书和txt值，多个域名的在后面加上-d example.com即可

1. ./acme.sh --home "/volume1/web/challenges" --issue --dns -d example.com -d www.example.com -d www.example.com

复制代码

执行完成后会有类似以下信息

1. Add the following txt record:
   
2. Domain:_acme-challenge.example.com
   
3. Txt value:9ihDbjYfTExAYeDs4DBUeuTo18KBzwvTEjUnSwd32-c
   
4. 
   
5. Add the following txt record:
   
6. Domain:_acme-challenge.www.example.com
   
7. Txt value:9ihDbjxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
   
8. 
   
9. Please add those txt records to the domains. Waiting for the dns to take effect.

复制代码

根据上面的提示手动添加域名TXT记录,DNS刷新生效1分~48小时不等，google的1分钟就生效了

等TXT记录生效后执行更新证书

1. ./acme.sh --home "/volume1/web/challenges" --renew -d example.com -d www.example.com

复制代码

签发完成后到/volume1/web/challenges对应的域名目录下把证书取下以下两个文件，到DSM证书管理手动导入即可
私钥：example.com.key
证书：example.com.cer


3.自动更新安装证书
上面的需要手动导入证书，下面介绍自动的

自动续签证书，创建一个.txt文件，内容如下，重命名为renew_ssl.sh，上传到DSM

1. /volume1/web/challenges/acme.sh/acme.sh --home "/volume1/web/challenges" --renew --force -d example.com -d www.example.com

复制代码

自动安装证书，创建一个.txt文件，内容如下，重命名为install_ssl.sh，上传到DSM

1. /volume1/web/challenges/acme.sh/acme.sh --home /volume1/web/challenges --installcert -d aichh.com --certpath /usr/syno/etc/certificate/_archive/proxYn/cert.pem --keypath /usr/syno/etc/certificate/_archive/proxYn/privkey.pem --fullchainpath /usr/syno/etc/certificate/_archive/proxYn/fullchain.pem --capath /usr/syno/etc/certificate/_archive/proxYn/chain.pem --reloadcmd
   
2. 
   
3. rsync -avzh /usr/syno/etc/certificate/_archive/proxYn/ /usr/syno/etc/certificate/system/default/
   
4. 
   
5. /usr/syno/etc/rc.sysv/nginx.sh reload

复制代码

到DSM计划任务里新增两个自定义脚本任务，任务设置里把上面的脚本完整路径填上
设置为每月执行一次，renew_ssl.sh要先于install_ssl.sh，两个脚本最好有10分钟以上时间差。
补图









完了，要了解更多请移步官网

验证下，SSL安全性如何：
https://myssl.com

linuxarm

如果是原创的话赞！！！

HOPE

我是用cerbot。。

只在夜半飞

一眼看过去还没看懂，先mark下～

黑群晖有用吗？

rainsun

QUOTE:

只在夜半飞 发表于 2017-7-14 11:07
一眼看过去还没看懂，先mark下～

黑群晖有用吗？

看需求了，对我来说有用

tsens

NAS用证书有什么作用？

rainsun

QUOTE:

HOPE 发表于 2017-7-14 10:54
我是用cerbot。。

这个要安装python

HOPE

QUOTE:

rainsun 发表于 2017-7-14 11:10
论坛不是Symantec签发的吗

不止一个域名呢，呵呵。还有thinkpad.cn, thinkpad.com.cn, ibmnb.com都在用。

rainsun

QUOTE:

HOPE 发表于 2017-7-14 11:11
不止一个域名呢，呵呵。还有thinkpad.cn, thinkpad.com.cn, ibmnb.com都在用。

土豪用收费证书，我这只用免费的证书

tsens

NAS装证书有什么作用？

rainsun

QUOTE:

tsens 发表于 2017-7-14 11:08
NAS用证书有什么作用？

就因为喜欢看绿色的锁和安全这两个字

HOPE

QUOTE:

rainsun 发表于 2017-7-14 11:14
土豪用收费证书，我这只用免费的证书

我是用的免费证书呢。
Let’s Encrypt三个月更新一次，Symantec一年。

tsens

QUOTE:

HOPE 发表于 2017-7-14 11:22
我是用的免费证书呢。
Let’s Encrypt三个月更新一次，Symantec一年。

老大，证书有什么用啊