群晖DSM下套件及系统网页服务器ssl证书自动更新

最新推荐文章于 2024-05-18 09:37:04 发布
最新推荐文章于 2024-05-18 09:37:04 发布
阅读量2k 收藏 1
点赞数 1
文章标签: 服务器 ssl 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jonhy_love/article/details/132402320
版权

关键字: DSM ssl  证书

起因

群晖下自建服务(alist3)和系统服务在外部网络访问需要加ssl安全证书来实现基础的传输保护。

申请证书和续期手动操作都还好,不算太麻烦,但是每个应用单独证书需要复制和重启,再配合服务重启一套下来就比较麻烦了,于是有了这篇文章和末尾的ssl自动续期和证书自动复制及服务自动重启脚本

方案

免费ssl证书的申请,一般是let's encrypt 或者 Trust Asia ,泛域名三个月续期。手动操作比较繁琐,且三个月操作一次更加的繁琐。

自动化ssl续期/申请工具有:

  • acme.sh (基于linux原生shell,不需要额外的安装其他东西,但是可能一些非常规linux 系统下会有问题,比如群晖内linux)
  • certbot  (基于python,可以用acme代理认证或者直接域名服务商dns更新,大部分云厂商都有插件支持)
  • keyManager (Windows下,可以自动部署到服务器)
  • ......

本来打算直接用acme.sh,但是不知道为什么我这边群晖下(ssh 登录群晖终端) acme.sh 总是openssl报错,懒得去动系统内的依赖(openssl动了可能影响很多东西),搜了下发现certbot也完整实现了acme协议,基于python实现的。

安装 certbot(直接pip 安装就行) 以及 ssl续期 网上有很多教程,就不详细介绍了,脚本中域名和路径、accesskey等自行更改。
 

# ssh
ssh 192.168.1.100

# root权限
sudo su -


# 插件按需安装就行
pip3 install certbot certbot-dns-aliyun certbot-dns-cloudflare certbot-auth-dnspod


# 这里用阿里云演示
### 配置文件
mkdir -p /etc/letsencrypt/

cat > /etc/letsencrypt/credentials.ini <<EOF
dns_aliyun_access_key = 12345678
dns_aliyun_access_key_secret = 1234567890abcdef1234567890abcdef
EOF

chmod 644 /etc/letsencrypt/credentials.ini


# 申请命令
certbot certonly \
--authenticator=dns-aliyun \
--dns-aliyun-credentials=' /etc/letsencrypt/credentials.ini' \
-d example.com\
-d "*.example.com"



# 手动续期
cerbot renew -q

流程及脚本

这里来讲一下本文的主要目的:

1. 自动续期脚本

2. 复制证书并重启alist

3. 复制证书并重启 nginx

具体路径自己更改

#! /bin/bash

is_updated="false"

check_file_md5_and_replace(){
    file1="$1"
    file2="$2"

    # 检查文件是否存在
    if [ ! -f "$file1" ] || [ ! -f "$file2" ]; then
        echo "Error: Both files must exist."
        return 1
    fi

    # 计算文件的MD5摘要
    md5_file1=$(md5sum "$file1" | awk '{print $1}')
    md5_file2=$(md5sum "$file2" | awk '{print $1}')

    # 比较MD5摘要
    if [ "$md5_file1" != "$md5_file2" ]; then
        echo "MD5 mismatch. Copying $file1 to $file2."
        cp "$file1" "$file2"
        is_updated="true"
        echo "Copy complete."
    else
        echo "MD5 match. No action needed."
    fi
}

# 需要续期的域名,自行修改
domain=example.com

ssl_cert=/etc/letsencrypt/live/${domain}/cert.pem
ssl_chain=/etc/letsencrypt/live/${domain}/chain.pem
ssl_fullchain=/etc/letsencrypt/live/${domain}/fullchain.pem
ssl_privkey=/etc/letsencrypt/live/${domain}/privkey.pem


# renew ssl certs
/usr/bin/certbot renew -q

# update alist3 certs
target_ssl_fullchain=/volume1/@appdata/alist3/cert.crt
target_ssl_privkey=/volume1/@appdata/alist3/pri.key
check_file_md5_and_replace ${ssl_fullchain} ${target_ssl_fullchain}
if [ "$is_updated" = "true" ]; then
    synopkg restart alist3
    is_updated="false" 
fi 
check_file_md5_and_replace ${ssl_privkey} ${target_ssl_privkey}


# update syno default certs
target_path=/usr/syno/etc/certificate/_archive/VpBstU
target_ssl_cert=${target_path}/cert.pem
target_ssl_chain=${target_path}/chain.pem
target_ssl_fullchain=${target_path}/fullchain.pem
target_ssl_privkey=${target_path}/privkey.pem

check_file_md5_and_replace ${ssl_cert} ${target_ssl_cert}
if [ "$is_updated" = "true" ]; then
    systemctl restart nginx
fi 
check_file_md5_and_replace ${ssl_chain} ${target_ssl_chain}
check_file_md5_and_replace ${ssl_fullchain} ${target_ssl_fullchain}
check_file_md5_and_replace ${ssl_privkey} ${target_ssl_privkey}


# 查看证书信息
# openssl x509 -in VpBstU/fullchain.pem -text -noout|grep DNS

群晖下套件采用 synopkg 管理

系统服务使用 systemctl 管理

参考来源

使用 Certbot 自动申请并续订阿里云 DNS 免费泛域名证书_tabsp的博客-CSDN博客

Certbot免费证书的安装·使用·自动续期_certbot renew_BlackRockZero的博客-CSDN博客

查看 PEM DER 格式证书命令_centos查看pem证书命令_maimang09的博客-CSDN博客

jonhy.luo
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
群晖DSM安装套件.zip
11-05
【黑群晖DSM安装套件.zip】是一个包含用于安装和管理“黑群晖”(Black Synology)系统的工具集合。黑群晖是基于开源软件Synology DiskStation Manager(DSM)的一个非官方版本,它允许用户在普通PC硬件上搭建类似...
群晖镜像二合一镜像及DSM
10-14
"群晖镜像二合一镜像及DSM"是指将系统镜像(通常为Synology DiskStation Manager,简称DSM)与数据存储空间整合到一个镜像文件中的技术。这种技术主要用于简化安装过程,使得用户可以快速部署并恢复群晖NAS(网络...
ubuntu server自动关闭屏幕背景灯_certbot-auto申请https证书,自动续期
weixin_39915267的博客
11-20 229
一、先安装certbotwget https://dl.eff.org/certbot-auto chmod a+x certbot-auto二、申请证书注意:需要把要申请证书的域名先解析到这台服务器上,才能申请。填写自己的邮箱,域名(可以填多个)sudo ./certbot-auto certonly --standalone --email my@qq.com -d abc.com -d ww...
推荐开源项目:syno-acme - 群晖系统的自动化HTTPS泛域名证书管理神器
最新发布
gitblog_00064的博客
05-18 310
推荐开源项目:syno-acme - 群晖系统的自动化HTTPS泛域名证书管理神器 项目地址:https://gitcode.com/andyzhshg/syno-acme 1. 项目介绍 syno-acme 是一个专为群晖NAS系统设计的脚本工具,它使得通过ACME协议更新HTTPS泛域名证书变得极其简单。这个开源项目旨在帮助用户轻松实现证书的自动化管理和续期,确保你的网站始终采用安全的加密连接...
【2024年】群晖7.x用docker安装acme.sh自动续签部署ssl
weixin_42279526的博客
05-12 1241
傻瓜式群晖docker容器实现多域名自动生成部署更新ssl证书
群辉7.X 利用acme.sh实现证书申请和续签
myquene的博客
11-20 1478
acme.sh可以直接申请ssl证书,只需要3个月一更新即可群辉现在好多资料感觉过时了,不好用,自己就记录一下。7.X我试着是没问题。
如何修复 Synology Drive Client、Synology Drive ShareSync 和 Synology Drive 移动应用程序的常见 SSL 问题?
群晖 Drive
07-11 7366
使用 Synology Drive Client、Synology Drive ShareSync 或 Synology Drive 移动应用程序建立连接或创建任务时,您会遇到以下 SSL(安全套接字层)警告
群晖NAS:套件源地址添加提示 无效位置 系统证书重置
刻痕
10-25 3497
## 群晖NAS:套件源地址添加提示 无效位置 网上很多案例和解决方案,没生效。通过重置延长系统证书即可 **设置 - 安全性 - 证书 - 群晖证书 - 右击菜单 延长证书** ![在这里插入图片描述](https://img-blog.csdnimg.cn/3dd88be5ffc048058f15a8bdc4d2562d.png) 延长成功后,在套件中心添加即可。 若不生效,可查看网上别人的方案: [https://www.jianshu.com/p/d64650d500d7](https:
【HomeLab】2023年!使用acme为群晖NAS自动部署证书
01-30 4761
之前一直是用的阿里云的免费证书,只能单个域名申请,有效期一年。这样每年都需要进行证书更新,最近真的是头秃了。在查阅不少资料后,发现使用acme可以快速满足需求。 最终自动化方案如下,通过阿里云AK,自动化添加TXT记录,进行域名解析校验。进而生成SSL证书进行部署。
群晖安装ssl证书并实现证书自动延期
wycqing的博客
03-06 3187
群晖的访问速度太慢,很大一批都宁愿自己淘一个低延迟且水管足够的VPS服务器配合群晖NAS来做内网穿透使用,来达到提升外网访问速度的目的。而对于一个暴露在外网的NAS来说,让后台访问支持HTTPS协议变得尤为重要。很多人会说为什么不用群晖服务,使用DSM系统自带的SSL证书?毕竟访问慢啊,另外我们很多时候需要在NAS上建站或者部署安装其他的项目都需要用到泛域名证书。免费的泛域名证书 ——Let’s En­crypt 一个就搞定,而且还有相应的开源脚本。
用acme.sh自动申请群晖SSL证书并自动续期
ccloving2008的专栏
05-29 1660
用acme.sh自动申请群晖NAS的免费SSL证书并自动续期
群晖DSM5.0-4493系统
01-07
2. **多平台支持**:黑群晖DSM5.0支持多种操作系统,包括Windows、Mac OS X、Linux和移动设备上的iOS及Android系统。这使得用户无论使用何种设备,都能无缝地访问和管理存储在黑群晖上的文件。 3. **数据存储与备份...
群晖DSM7.1.0物理机安装教程需要的文件
07-28
群晖DSM7.1.0物理机安装教程需要的文件黑群晖DSM7.1.0物理机安装教程需要的文件黑群晖DSM7.1.0物理机安装教程需要的文件黑群晖DSM7.1.0物理机安装教程需要的文件黑群晖DSM7.1.0物理机安装教程需要的文件黑群晖DSM...
DSM群晖系统小白上手指南.zip
07-28
DSM群晖系统小白上手指南.zip
群晖使用acme.sh自动续签&部署SSL证书(可兼顾一键回家)
qq_19243049的博客
09-21 2348
群晖上部署cloudflare提供的15年长期证书,用于OpenVPN;同时使用acme.sh自动续签&部署SSL证书,用于实现HTTPS访问群晖服务和cloudflare加密回源。
群晖添加第三方套件源提示无效位置的解决方法(解决群晖CA根证书过期的问题)
热门推荐
hwadong的博客
12-09 1万+
1、最近由于CA根域名证书过期的原因,造成很多群晖证书失效,最直接的影响就是添加第三方套件源会提示如下图所示“无效的位置”; 2、因此,我们需要给群晖更新一下根证书,在电脑的浏览器打开这个【链接】; 3、系统会自动下载一个证书文件,保存到电脑上; 4、查看下载的文件; 5、找到刚才下载的文件; 6、打开群晖File Station,在非中文的共享文件夹建立一个子文件夹(我选择在home里面建立1这个子文件夹); 7、上传..
docker https 证书/多域名通配符自动续期(群晖https证书
小单的博客专栏
12-23 3279
本文基于 freessl.cn 申请通配符域名自动续期。使用docker的原因是为了方便可靠,不会因为不同的操作系统缺包无法安装 acme.sh,也不会在操作系统中留下灿烂内容,acme 版的docker 包含了运行环境。
群晖7.2用docker安装acme.sh,实现自动更新部署SSL证书
u013102163的博客
04-27 2977
最近发现SSL到期了,上去阿里云一看,免费证书有效期才3个月了,本来就1年一次觉得够烦了。干脆弄一下自动部署更新SSL证书吧(以阿里云为例)。
群晖自动续期SSL证书_怎样查看SSL证书的有效期?自动续期是否生效?
weixin_42524842的博客
01-17 4503
前面一篇教程教大家如何能够把网站的 HTTPS 的 SSL 证书自动续期。料神米课的学员动手能力都很强,已经很多都成功把证书续期了。但怎么看证书续期是否成功了呢?使用火狐 firefox 浏览器就可以很轻松地知道你的网站SSL证书的有效期,通过有效期是否延期可以知道证书续期是否生效。Ok, follow me.首先用 firefox 打开你的网站,在你网站左边的小绿锁上点击一下,会弹出一个菜单。点...
群晖dsm6.17
10-06
群晖DSM 6.17是由Synology(群暉科技)开发的一款网络存储管理操作系统。它提供了丰富的功能和易于使用的界面,帮助用户在家庭、办公和企业环境中轻松管理和共享数据。 首先,黑群晖DSM 6.17提供了强大的存储功能。它支持多种硬盘阵列配置,如单磁盘、RAID 0、RAID 1、RAID 5等,用户可以根据需求选择最适合自己的配置方式。此外,它还支持数据备份和恢复,保障用户数据的安全性。 其次,黑群晖DSM 6.17提供了丰富的应用程序。用户可以使用官方应用商店或第三方开发的应用程序来满足各种需求,如多媒体管理、云存储、文件共享、远程访问等。这些应用程序可以进一步扩展黑群晖的功能,使其更加适应不同用户的需求。 此外,黑群晖DSM 6.17还注重安全性。它提供了多种安全功能,如加密传输、防火墙、IP封锁、账号安全等,帮助用户保护数据和系统安全。同时,黑群晖团队还定期发布安全补丁和更新,及时修复已知漏洞,确保系统安全性。 总而言之,黑群晖DSM 6.17是一款功能强大、易于使用、安全可靠的操作系统。无论是个人用户还是企业用户,都可以通过使用它来管理和共享数据,提高工作效率,同时保障数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值