群晖 Let’s Encrypt 泛域名证书自动更新

共计 1973 个字符，预计需要花费 5 分钟才能阅读完成。

目前acme协议版本更新，开始支持泛域名(wildcard)，也就是说，可以申请一个类似*.domain.com的单一证书，就可以适配abc.domain.com，xyz.domain.com这类的子域名，而不需要单独为每个子域名申请证书了。

acmesh-official/acme.sh 工具已经支持新的协议，我这篇文章就是在这个工具的基础上，实现泛域名的自动更新。为了减少复杂度，我编写了一个一键更新的懒人脚本，来帮助没有时间了解详细原理的同学快速部署。

1. 准备工作

因为我介绍的方法是一键替换群晖的默认证书，所以，为了防止意外，最好保证你的证书列表里只有一条记录，即默认证书那一条。实际上因为支持了泛域名证书，基本上这一条记录就足够用了（当然，如果你要管理多个域名，可能本文的方法并不适用）。开始工作前你的证书列表大概应该是这个样子：

群晖 Let's Encrypt 泛域名证书自动更新

2. 下载一键更新脚本

这是一键脚本的项目地址：andyzhshg/syno-acme。

如果你对项目本身不感兴趣，可以直接下载打包好的工具：syno-acme v0.2.1。

可以通过 File Station 将下载的工具上传到NAS的任意目录下，并解压。

解压后大概是这个样子：

群晖 Let's Encrypt 泛域名证书自动更新

3. 配置脚本参数

编辑脚本的配置文件config:

群晖 Let's Encrypt 泛域名证书自动更新

如图所示，需要编辑的几个字段我用蓝框标记出来了。

首先是DOMAIN，也就是你的域名。

然后是DNS的类型，根据服务商的不同，DNS类型各不相同，比如阿里云（dns_ali），Dnspod（dns_dp），Godaddy（dns_gd）等。

最后要根据不同的域名服务商提供的授权密钥等信息，比如我的域名服务商是阿里云，我需要编辑Ali_Key和Ali_Secret字段，字段的内容需要到域名服务商的管理后台来查看，因为不同的服务商的查看方式不同，请大家根据自己的实际情况去查找。

需要指出的是，我给出的配置文件模板并没有给出所有acme.sh支持的域名服务商，大家可以参照 https://github.com/acmesh-official/acme.sh/tree/master/dnsapi来添加自己的配置。一般情况下，这个页面每个文件对应一个域名服务商，比如dns_ali.sh就是对应阿里云，文件名去掉.sh扩展名就是DNS类型，比如阿里云的DNS类型就是dns_ali。打开对应文件，一般都可以在文件的头部找到需要设置的授权信息对应的密钥，比如阿里云的授权密钥所在的位置如下图所示：

群晖 Let's Encrypt 泛域名证书自动更新

config模板中没有的服务商，请大家自行完善。

[^2018.05.31]: 针对评论区同学提出的 Linode 的 API 生效时间的问题，增加了一个配置参数DNS_SLEEP，出现类似问题的话可以通过修改增大这个参数来解决。

4. 配置定时任务

i. 查找脚本路径

在 File Station 中定位到下载的一键脚本的目录，查看该脚本的绝对路径：

群晖 Let's Encrypt 泛域名证书自动更新

复制完整的绝对路径到剪贴板。

ii. 创建定时任务

打开 控制面板 / 任务计划 / 新增 / 计划的任务 / 用户自定义的脚本：

群晖 Let's Encrypt 泛域名证书自动更新

设置任务名称和操作用户，需要注意的是这里一定要选择root：

群晖 Let's Encrypt 泛域名证书自动更新

设置计划的时间和周期，这里只支持按月或者年重复，我们只能取按月重复才能满足 Let’s Encrypt 至少3个月更新一次的要求：

群晖 Let's Encrypt 泛域名证书自动更新

设置执行脚本，这里我们将脚本的输出重定向到了一个log.txt的文件中，以方便后期查看脚本的执行情况：

群晖 Let's Encrypt 泛域名证书自动更新

上图红框中的脚本命令为(注意没有换行)：

/volume1/nas_share/certs/syno-acme/cert-up.sh update >> /volume1/nas_share/certs/syno-acme/log.txt 2>&1

具体的路径是步骤 i中复制的路径。

iii. 试运行脚本

可以在新建的任务上点击右键立即执行任务：

群晖 Let's Encrypt 泛域名证书自动更新

这样脚本就会运行，自动更新证书，并重启web服务器加载新的脚本。以后，NAS会每隔一个月执行一次该脚本，自动更新证书。

iv. 回滚

脚本里提供了回滚命令，可以通过ssh登录到nas，定位到对应目录，执行如下命令回滚证书目录到备份的状态：

/volume1/nas_share/certs/syno-acme/cert-up.sh revert

总结

这个一键脚本的特点是最小限度的触碰系统文件，仅/usr/syno/etc/certificate/_archive目录会被更改。acme.sh工具随用随时下载，保持最新，用完即删除，不占用磁盘空间。

这基本就是本文的全部了，如果大家使用中遇到问题，可以在这里留言或者到 https://github.com/andyzhshg/syno-acme/issues 提issue。

原文链接：https://www.up4dev.com/2018/05/29/synology-ssl-wildcard-cert-update/

多乐士通过摸索发现ssh拉取会报错，直接网页访问下载会报404错误，不知道原因；但是可以通过群晖CM注册表访问下载，其方法如下： Container Manager-注册表-设置-新增-注册表名称随便写，注册表URL填你的加速地址，勾选信任的SSL自我签署证书，登录信息不填-应用-使用你的地址，这是注册表会显示了，在搜索栏中输入映像名称，搜索结果在每一页的最后一个，你需要划到最后一个进行下载，实测可正常下载安装。以上供网友参考。

多乐士还有一个比较简单的方法，只是需要一些外部工具。 1、讲损毁硬盘取出，装入外部移动硬盘 2、打开Diskgenius，定位到硬盘 3、格式化系统分区 4、重新插入硬盘 5、存储池->修复存储池即可

多乐士写的不错的文章

辞了老衲这个确实有帮助。

渋驀当然任何时候都可以用curl命令和crontab来实现动态更新DDNS的ip地址： 1、安装crontab之后为root用户创建文件/var/spool/cron/root 2、创建并配置ddnsupdate.sh，放到/usr/bin/文件下，文件内容(以he.net为例）： Autodetect my IPv4/IPv6 address: IPV4：curl -4 "http://dyn.example.com:password@dyn.dns.he.net/nic/update?hostname=dyn.example.com" IPV6：curl -6 "http://dyn.example.com:password@dyn.dns.he.net/nic/update?hostname=dyn.example.com" 3、添加执行权限chomod +x /usr/bin/ddnsupdate.sh 4、编辑root用户的crontab：*/10 * * * * /usr/binddnsupdate.sh，每10分钟执行一次。好了，可以享受你的DDNS了