V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
chunkingName
V2EX  ›  NAS

目前群晖自动部署 https 证书有什么好用的工具

  •  1
     
  •   chunkingName · 174 天前 · 3683 次点击
    这是一个创建于 174 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在各大厂商免费证书都变为 3 个月了,有什么好用的工具可以自动申请部署群晖的 https 证书?

    第 1 条附言  ·  171 天前
    目前在路由器 openwrt 装了 lucky DDNS+自动申请证书+反代 很好用
    33 条回复    2024-12-12 23:29:22 +08:00
    wheat0r
        1
    wheat0r  
       174 天前   ❤️ 1
    acme.sh
    实际上我按照它提供的群晖的文档配置了自动续签,但是从来没有自动续签成功过,我也不知道为什么
    quanqqqq
        2
    quanqqqq  
       174 天前
    xunandotme
        3
    xunandotme  
       174 天前
    同问,不行我就只能选 ali68 的了
    Junichi
        4
    Junichi  
       174 天前
    xdzhang
        5
    xdzhang  
       174 天前
    docker 的 acme,我的都自动续签的,就是泛域名的话有数量限制。
    GoodRui
        6
    GoodRui  
       174 天前
    不能只用 acme.sh ,原理就是先弄个 acme.sh 的 docker ,然后写一个脚本,使用 acme.sh 的 docker 提供的能力,自动申请、更新、部署证书。家里的白裙用了 4 、5 年了,给办公室弄的黑群也跑了一年半了,都没管过。需要注意 acme.sh 的容器需要设置正确的环境变量以能正确使用你的 dns 商提供的 api 接口。
    以下脚本中的证书服务商、acme.sh 容器的容器名需要根据你的情况进行相应修改。
    然后把这个脚本加入群晖的计划任务,每月执行一次就行了。

    脚本内容参考以下:

    ```bash
    #!/bin/bash

    # 域名
    DOMAIN='asidf.com'

    # DNS 类型,dns_ali,dns_cf,dns_dp 根据域名服务商而定
    DNS='dns_dp'

    # DNS API 生效等待时间,单位:秒,一般 120
    DNS_SLEEP=120

    # 证书服务商,letsencrypt ,zerossl
    CERT_SERVER='letsencrypt'

    # 邮箱
    EMAIL='[email protected]'

    # 生成证书和安装证书的命令
    updateAcme="acme.sh --upgrade --auto-upgrade"
    generateCrt="acme.sh --force --log --register-account -m ${EMAIL} --issue --server ${CERT_SERVER} --dns ${DNS} -d "${DOMAIN}" -d "*.${DOMAIN}""
    installCrt="acme.sh --deploy -d "${DOMAIN}" -d "*.${DOMAIN}" --deploy-hook synology_dsm"

    # 调用 docker 内的生成命令 exec 后面的是 docker 容器名,使用 id 也可以
    docker exec neilpang-acme-sh-1 $updateAcme
    docker exec neilpang-acme-sh-1 $generateCrt
    docker exec neilpang-acme-sh-1 $installCrt

    ```
    lozzow
        7
    lozzow  
       174 天前
    我用 lego,定期在我的 vps 上执行,然后定期同步到我本地服务器上
    imnpc
        8
    imnpc  
       174 天前
    @Junichi #4 这个的图文教程打不开
    Junichi
        9
    Junichi  
       174 天前
    @lozzow #7 其实也没啥步骤的

    1 、下载文件到群晖的共享文件夹里
    2 、编辑 config 为你的域名 api 参数
    3 、控制面板新建个定时任务 /volume1/acme/cert-up.sh update >> /volume1/acme/log.txt 2>&1 ,运行即可。

    如果开启了两步验证 任务前面 还得增加一个参数,登录时勾选保存设备,然后去 cookie 复制 did

    export SYNO_DID=<did>
    qa2080639
        10
    qa2080639  
       174 天前
    收费前续了一年 伸手党等一波大佬方案
    yinh0715
        11
    yinh0715  
       174 天前
    我用 lucky
    czita
        12
    czita  
       174 天前
    nginx proxy manager,可以绑定二级域名、解析获取 https 证书自动续期
    Yesr00
        13
    Yesr00  
       174 天前
    现在免费证书都没有 1 年的,全是 90 天,确实挺麻烦。
    goodryb
        14
    goodryb  
       174 天前
    https://v2ex.com/t/854756

    两年前我就发过教程了
    rekulas
        16
    rekulas  
       174 天前
    如果有多个域名且每个域名都有子域名且有多个服务器需要证书,可以考虑用 acme 实现 dns 申请泛域名证书并分发到各个机器上
    https://github.com/del-xiong/auto-ssl-renew
    自己写的小脚本,只需简单设置即可使用
    chinni
        17
    chinni  
       174 天前
    acme dns 认证完事啊
    okkk
        18
    okkk  
       174 天前
    目前用的 nginx proxy manager 很方便
    kekylin
        19
    kekylin  
       174 天前
    我也来推荐一下“Nginx-UI”,Nginx 网络管理界面的新选择,简单、强大、高速。开源项目,国内大佬开发。支持证书申请(包括泛域名证书)、续签,反向代理等等。
    项目地址: https://github.com/0xJacky/nginx-ui
    项目官网: https://nginxui.com
    H97794
        20
    H97794  
       174 天前
    同 #6 的方案,域名在 cf,一个月自动执行一次任务,都忘了证书的事了.
    xfelix
        21
    xfelix  
       174 天前
    bkdlee
        22
    bkdlee  
       174 天前
    群晖自己就有 Let's Encrypt 的更新服务。从 Control Panel->Security-> Certificate
    包含群晖自己的反向代理,还是很好用的。
    ETiV
        23
    ETiV  
       174 天前 via iPhone
    当然是用绿联的 wildcard 证书 有效期一年 /doge

    [绿联私有云 NAS 可能存在中间人攻击,官方域名的泛域名证书可以被直接下载-哔哩哔哩] https://b23.tv/vNM31NS
    YsHaNg
        24
    YsHaNg  
       174 天前
    群晖不自带 Let's Encrypt 吗
    yjxjn
        25
    yjxjn  
       174 天前
    Lucky
    conan257
        26
    conan257  
       173 天前
    @wheat0r 我也一样 一直没成功
    8cbx
        27
    8cbx  
       173 天前
    群晖自带的 Let's Encrypt 需要开放 80 端口,一般运营商都会封掉这个端口导致无法自动续签;如果白群推荐用 synology.me 的二级域名,这个带自动续签的服务,2 月份设置的,到 6 月份看貌似自动续签成功了
    neroxps
        28
    neroxps  
       173 天前 via iPhone
    群晖现在支持 acme 直接支持自己续期证书。

    以前搭配 acme 的话还是需要重启群晖的 nginx
    neroxps
        29
    neroxps  
       173 天前 via iPhone
    @8cbx 不需要了,现在支持 acme dns api 方式,写 txt 来校验。
    zhouu
        30
    zhouu  
       171 天前
    traefik
    klzy
        31
    klzy  
       103 天前
    @neroxps #28 需要更新版本吗?没看到群晖支持 dns 认证啊?
    1dian01
        32
    1dian01  
       76 天前
    @chunkingName 用 lucky 反代后,那个证书,好像就默认用群晖系统自己的证书了,用 drvie 连接 nas 同步,会提示如下:
    Synology NAS 的 SSL 证书不可信。这可能意味着它是一个自我签署证书,或者有人尝试拦截您的连接。

    请问你那边有遇到这个问题吗?
    phris
        33
    phris  
       14 天前
    目前 ohttps 已经支持群晖系统证书的自动更新和自动部署了,简单易用:
    https://ohttps.com/docs/cloud/synology/nas
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1124 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:07 · PVG 07:07 · LAX 15:07 · JFK 18:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.