Nas教程 2、申請Let's Encrypt ssl泛域名證書并自動更新，確保數(shù)據(jù)傳輸安全

時間：2023-02-08 02:28:01 | 來源：建站知識

時間：2023-02-08 02:28:01 來源：建站知識

通過上篇教程，我們已經(jīng)可以通過外網(wǎng)訪問自己家里的nas了，下一步就可以翻著花的折騰各種想法。但是在這之前，我們要知道一個問題：http協(xié)議是明文傳遞數(shù)據(jù)。也就是說，如果你在外訪問家中的nas的時候，直接把所有信息都暴露出去了，其中包括賬號和密碼。萬一別人有點小想法，你的nas變成別人的后花園了。為了解決這個問題，我們需要換成https來訪問，需要一個ssl證書。

群暉本身是提供一個自有證書的，不過瀏覽器往往不承認(rèn)這個證書，在使用https訪問的時候還是會提示不安全，這導(dǎo)致有些瀏覽器無法訪問、有些軟件直接不支持。我們需要搞一個更好的ssl證書。

但是：

1、傳統(tǒng)方式的ssl證書是認(rèn)證一個固定的域名，像我們前一篇教程中講的多個二級域名就必須每個域名搞一個證書，太麻煩。

2、收費證書價格不菲。

3、免費證書各有各的麻煩。

顯然我不想花錢買收費證書，群暉自己的證書似乎不支持泛域名，免費證書一般有各種各樣的麻煩。我在網(wǎng)上搜教程的時候，比較了不少家免費證書，最終只能心不甘情不愿的選擇了一家：

Let's Encrypt

據(jù)說這家是全球最大的免費域名機構(gòu)，各種優(yōu)點等等等等。唯一的麻煩是三個月需要重新申請一次。好處是真的免費、支持泛域名、沒有那么多彎彎繞繞。于是就折騰一番申請了一個?；蛟S也是因為這個證書機構(gòu)號稱是最大的，網(wǎng)上確實有很多申請流程的介紹。這里我就不再重復(fù)說怎么申請了。我想仔細(xì)講一講怎么自動續(xù)期。

因為搜索Let's Encrypt，連帶的就看到很多介紹自動續(xù)期的工具，其中講的最多的就是acme，可以用命令行的形式自動申請、續(xù)期Let's Encrypt證書。然后在找acme教程的時候又發(fā)現(xiàn)了新的東西，syno-acme，據(jù)介紹，可以自動申請或者續(xù)期之后，自動更新群暉的證書設(shè)置。于是各種搜索最終找到了作者的博客：

群暉 Let's Encrypt 泛域名證書自動更新

按照博客的介紹，一步一步設(shè)置安裝，然后成功的掉坑了。申請證書一切正常，但是無法重啟群暉的網(wǎng)頁服務(wù)，也無法更新證書。一邊看log，一邊ssh登錄群暉，發(fā)現(xiàn)問題應(yīng)該是dsm7.0改變比較大，目錄啊什么的都不一樣，原有的腳本自然無效了。然后嘗試在博客上向作者求助，沒能得到回音。等不及就四處尋找解決辦法，然后跑到作者的github上找到了解決辦法。

下邊我們一步一步來介紹如何安裝syno-acme來自動更新ssl：

一、找到作者的github

GitHub - andyzhshg/syno-acme: 通過acme協(xié)議更新群暉HTTPS泛域名證書的自動腳本

二、點擊上圖紅框位置鏈接

我瀏覽器裝了github翻譯插件，你們訪問應(yīng)該是鳥語。

新頁面點擊紅框的鏈接。

ok，作者在這里提供了新版本，下載這個。

點擊紅框位置開始下載。

下載解壓之后我們需要修改設(shè)置文件，就是紅框這里的，隨便找個過得去的文本編輯器來修改下就好。

修改如圖所示幾處信息就可以了。需要注意的是，如果你用的不是騰訊云，那就需要去acme的github找到對應(yīng)的介紹進行修改。

然后把這個文件夾的所有文件上傳到你的群暉，任意一個合適的文件夾，例如我就放在home。

打開file station，找到你上傳的位置。

右鍵點擊cert-up.sh，選擇屬性。

復(fù)制位置欄的文件位置，馬上要用。

打開群暉控制面板-選擇計劃任務(wù)

新增-計劃任務(wù)-用戶自定義腳本就來到上圖這個頁面，隨便起個名字，用戶選root。點上已啟用。

修改計劃，因為這個ssl3個月需要重新申請一次，因此我們這里改成1個月運行一次。這個頻率最接近。

輸入自定義腳本

/volume1/nas_share/certs/syno-acme/cert-up.sh update >> /volume1/nas_share/certs/syno-acme/log.txt 2>&1

需要注意，這個腳本是在一行的，不要分成兩行。修改腳本里的文件cert-up.sh的位置到你自己剛才上傳的位置，也就是我們前邊復(fù)制的地址。后邊log.txt最好跟上傳位置放在同一個目錄，方便遇到麻煩了找記錄。

然后確定就行了，完成這一切之后，記得郵件點擊計劃任務(wù)，運行一次。




需要注意的是，我是先手動申請了ssl證書，然后調(diào)用這個來自動更新，因此不確定在沒有申請證書的情況下會不會自動申請并導(dǎo)入證書，按道理是可以自動申請的。萬一沒有自動導(dǎo)入證書，你可以手動導(dǎo)入證書。

在運行完計劃任務(wù)之后，回到你剛才的上傳目錄，他會自動建立acme.sh目錄，這個目錄下邊會生成一個以你的域名為名字的目錄，點開，你的證書文件就在這個目錄之下。自己導(dǎo)入群暉的證書就好，位置在控制面板-安全-證書。

好了，做到這里我們就可以通過https安全訪問群暉了。