【HomeLab】2023年!使用acme为群晖NAS自动部署证书

已于 2023-02-13 22:26:58 修改
阅读量4.4k 收藏 7
点赞数 3
分类专栏: HomeLab 运维 文章标签: https ssl linux docker 服务器
于 2023-01-30 23:40:44 首次发布
© "署名-非商用-相同方式共享 3.0" 转载请保留原文链接及作者。
本文链接:https://blog.csdn.net/qq_25924971/article/details/128809638
版权

之前一直是用的阿里云的免费证书,只能单个域名申请,有效期一年。这样每年都需要进行证书更新,最近真的是头秃了。在查阅不少资料后,发现使用acme可以快速满足需求。

acme.sh是一款方便,强大的域名证书申请&续签工具,支持一键申请&持久化续签。其支持HTTP验证和 DNS 两种域名验证方式,并且可同时申请多张单域名,泛域名证书,并自动续签证书和部署到项目。如此强大的工具怎能不试试。

最终自己根据场景,选择自动化方案如下,通过阿里云AK,自动化添加TXT记录,进行域名解析校验。进而生成SSL证书进行部署。

  1. NAS为内网环境,无公网IP,故PASS掉HTTP方案。
  2. acme支持群晖自动部署,其使用登录脚本,进而调用群晖API进行证书部署。

一、 阿里云AK/SK生成

首先需要先申请AK/SK,在这里需要注意一下最小化权限。我们采用子账号授权来进行

  1. 打开阿里云子账户页面 https://ram.console.aliyun.com/users
    创建新用户
    创建用户

  2. 用户授权,添加对域名解析的访问权限
    用户授权
    在这里插入图片描述

  3. 生成AK/SK
    点击创建好的用户
    创建AK

在这里插入图片描述
保存好获取到的AccessKey ID以及AccessKey Secret,在后面步骤中会用到。

二、 群晖账号生成

同样,为了便于账号区分,在这里我新建了一个acme账号,授予Administrator权限。(最小化权限失败)
一方面是省的关闭自己使用账号的二次认证,另一方面也是以便后面进行日志审计。

控制面板->用户与群组->用户账号->新建

在这里插入图片描述

新建用户

在这里插入图片描述

然后一路下一步即可。

三、 Docker部署

通过docker-compose部署即可,相关脚本如下

  1. 目录结构
# 目录结构
.
 |docker-compose.yml
 |main
 | |domain.list
 | |add_domain.sh
 | |init_domain.sh
 | |start.sh
  1. docker-compose.yml
# docker-compose.yml
version: '3'
services:
  acme-service:
    image: neilpang/acme.sh
    container_name: acme
    volumes:
      - ./data:/acme.sh
      - ./main:/root/main
    environment:
      - Ali_Key= # 第一步获取到的AccessKey ID
      - Ali_Secret= # 第一步获取到的AccessKey Secret
      - SYNO_Hostname= # NAS登录的IP、或者HOST
      - SYNO_Scheme= # NAS登录协议,建议HTTP,免得HTTPS过期产生问题
      - SYNO_Port= # NAS登录端口
      - SYNO_Username= # NAS账号,建议使用新建账户账号
      - SYNO_Password= # NAS密码,建议使用新建账户密码
    tty: true
    command: daemon
  1. start.sh
#!/bin/sh
# start.sh
DOMAIN=$1
export SYNO_Certificate=$DOMAIN
export SYNO_Create=$DOMAIN

# DNS类型,dns_ali dns_dp dns_gd dns_aws dns_linode根据域名服务商而定,我使用阿里
DNS='dns_ali'
DNS_SLEEP=20

# 证书服务商,zerossl 和 letsencrypt,我使用letsencrypt
CERT_SERVER='letsencrypt'
generateCrtCommand="acme.sh --force --log --issue --server ${CERT_SERVER} --dns ${DNS} --dnssleep ${DNS_SLEEP} -d "${DOMAIN}""
installCrtCommand="acme.sh --deploy -d "${DOMAIN}"  --deploy-hook synology_dsm"

$generateCrtCommand
$installCrtCommand
  1. init_domain.sh
#!/bin/sh
# 循环本地domain.list,并且进行证书部署
for line in `cat /root/main/domain.list`
do
    DOMAIN=$line
    sh /root/main/start.sh $DOMAIN
    echo "[+] $DOMAIN is over.. Please wait...."
    sleep 10
done
  1. domain.list
*.hello.com
*.test.cn
  1. add_domain.sh
#!/bin/sh

DOMAIN=$1
echo $DOMAIN >> domain.list
sh /root/main/start.sh $DOMAIN
echo "[+] Add $DOMAIN success!"

启动时,在domain.list中填写需要部署的域名即可,然后运行命令。

docker-compose up -d
docker exec acme sh /root/main/init_domain.sh

申请成功
申请成功

后续如果还要增加域名可以直接运行如下命令即可。

docker exec acme sh /root/main/add_domain.sh abc.hello.com

申请成功

注:虽然每次申请为90天,但acme默认会有自动部署检测,所以只要docker正常运行,我们没必要再去进行额外操作。

注2:SSH使用完记得关闭。

代码下载:https://download.csdn.net/download/qq_25924971/87405350

四、 安全加固-监控acme账号登录

TODO:好像群晖没有类似账号登录提示的功能,待进一步查看。

参考资料

188号安全攻城狮
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
qnap-acme.sh
09-18
威联通QNAP自动续签更新SSL证书脚本(配合acme.sh使用),支持Let's Encrypt免费证书,支持域名泛解析证书,如:*.xx.com。
syno-acme:通过acme协议更新群晖HTTPS泛域名证书自动脚本
05-29
syno-acme 通过acme协议更新群晖HTTPS泛域名证书自动脚本 使用方法参见:
2023使用acme为群晖NAS自动部署证书
01-30
HomeLab2023使用acme为群晖NAS自动部署证书 之前一直是用的阿里云的免费证书,只能单个域名申请,有效期一。这样每都需要进行证书更新,最近真的是头秃了。在查阅不少资料后,发现使用acme可以快速满足需求。 acme.sh是一款方便,强大的域名证书申请&续签工具,支持一键申请&持久化续签。其支持HTTP验证和 DNS 两种域名验证方式,并且可同时申请多张单域名,泛域名证书,并自动续签证书部署到项目。如此强大的工具怎能不试试。 https://blog.csdn.net/qq_25924971/article/details/128809638
自动部署证书 acme.sh 使用教程
最新发布
执笔阑珊的博客
02-25 1906
本文将介绍使用 acme.sh 配置自动续签的 SSL 证书
基于 acme.sh 自动申请域名证书群晖 Docker
自留地
05-30 4763
本文介绍如何使用 Docker 镜像 acme.sh,实现名证书自动申请和续签功能。 acme.sh 可以从 letsencrypt 生成免费的证书,支持 Docker 部署,支持 http 和 DNS 两种域名验证方式,其中包括手动,自动 DNS 及 DNS alias 模式方便各种环境和需求。可同时申请合并多张单域名,泛域名证书,并自动续签证书部署到项目。 准备 DNS API 本文以腾讯云为例申请 DNS API,其他解析平台请参考官方文档 dnsapi。 首先,打开 DNSPOD,点击右上角头像
群晖】命令行 acme.sh 自动申请域名证书
u011788214的专栏
11-25 3006
一:DNS API 我使用的是阿里云 二: 下载acme:GitHub - acmesh-official/acme.sh: A pure Unix shell script implementing ACME client protocol 地址中有安装命令: 我使用的是ZeroSSL.com CA 介绍如下:​​​​​​​ 由于我i使用的是DNS API,故查找阿里相关API 如果你使用的其他API,就找其他设置; 阿里设置如上图......
群晖DSM下套件及系统网页服务器ssl证书自动更新
jonhy的专栏
08-26 1751
关键字: DSM ssl 证书
群晖添加SSL证书,开启https
热门推荐
野生钢铁侠
11-30 2万+
群晖添加SSL证书,开启https
群辉7.X 利用acme.sh实现证书申请和续签
myquene的博客
11-20 1042
acme.sh可以直接申请ssl证书,只需要3个月一更新即可群辉现在好多资料感觉过时了,不好用,自己就记录一下。7.X我试着是没问题。
acme.sh自动申请群晖SSL证书自动续期
ccloving2008的专栏
05-29 1440
acme.sh自动申请群晖NAS的免费SSL证书自动续期
为远程群晖NAS的自定义域名免费申请SSL证书
远程穿透的博客
08-22 1062
在前面的介绍中,我们成功地将自己购买的域名,绑定到连接本地群晖NAS的数据隧道上,使我们能在cpolar的帮助下,在公共互联网使用特定域名访问到位于内网的群晖NAS。不过,由于使用的是http协议,让这样的访问连接很可能被黑客盯上。为了避免这种情况,我们需要将http协议升级为https协议。而升级https协议也并不复杂,从流程上看主要分为域名平台部分和cpolar客户端部分。现在,先让我们来看看如何处理域名平台部分的设置吧。
群晖NAS如何在内网部署HTTPS服务让浏览器信任证书
跳小闹成长记
09-12 6514
最近在折腾内部部署Web服务。通过Vue实现一个H5的内部的管理服务。但在实际部署过程中由于种种原因,必须部署Https服务。但在部署Https服务后,由于没有HTTPS证书,每次进入页面都会被浏览器拦截。使用起来非常不便。于是开始各种Google折腾,终于实现了在导入证书的基础上部署HTTPS服务。接下来,和大家一起分享下整个部署过程。
acme-companion:为Nginx代理自动生成ACME SSL证书
04-12
acme-companion是的轻量级伴侣容器。 它通过ACME协议为代理的Docker容器处理SSL证书自动创建,更新和使用。 如果使用latest版本,则必读:此项目的v2.0.0版本标记了Docker镜像所使用ACME客户端从到 此开关会导致某些向后不兼容的更改,因此在更新映像之前,请阅读和更新的文档以获取更多详细信息。 最重要的更改是,容器现在需要安装到/etc/acme.sh的卷,才能保留ACME帐户密钥和SSL证书使用simp_le的最后一个标记版本是v1.13.1 。 特征: 使用自动创建/更新Let's Encrypt(或其他ACME CA)证书。 让我们仅通过http-01挑战来加密/ ACME域验证。 在证书创建/续订时自动更新和重新加载Nginx配置。 支持创建。 在启动时创建强大的Diffie-Hellman集团。 使用所有版本的Docker
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
docker https 证书/多域名通配符自动续期(群晖https证书
小单的博客专栏
12-23 2940
本文基于 freessl.cn 申请通配符域名自动续期。使用docker的原因是为了方便可靠,不会因为不同的操作系统缺包无法安装 acme.sh,也不会在操作系统中留下灿烂内容,acme 版的docker 包含了运行环境。
群晖 Let's Encrypt 泛域名证书自动更新
qq_15004391的博客
10-20 6495
本文转载自:http://www.up4dev.com/2018/05/29/synology-ssl-wildcard-cert-update/,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有。 去曾经写过一篇文章介绍如 何在群晖NAS 通过 acme 协议更新 Let’s Encrypt 的 HTTPS 证书 。最近突然发现acme协议版本更新,开始支持泛域名(wildca...
群晖使用acme.sh自动续签&部署SSL证书(可兼顾一键回家)
qq_19243049的博客
09-21 1927
群晖部署cloudflare提供的15长期证书,用于OpenVPN;同时使用acme.sh自动续签&部署SSL证书,用于实现HTTPS访问群晖服务和cloudflare加密回源。
使用cpolar远程连接群晖NAS(升级安全链接1)
08-11 1330
在前面的介绍中,我们成功地将自己购买的域名,绑定到连接本地群晖NAS的数据隧道上,使我们能在cpolar的帮助下,在公共互联网使用特定域名访问到位于内网的群晖NAS。接着点击页面下方的“下一步”。首先回到域名平台的域名控制台,点击页面上方的“工作台”,进入工作台页面后,点选“SSL证书”(我们的域名在阿里云平台购买,因此以阿里云为例介绍)在“添加记录”页面,我们需要将之前(验证DNS页面)获得的验证信息填入这个页面(这也是手工DNS验证的由来),在确认填写无误后,点击右下方的“确认”按钮,完成验证过程。..
acme 自动证书管理
06-10
ACME(Automatic Certificate Management Environment)是一个由 Let's Encrypt 领导的开放标准,用于自动化获取、更新和管理 SSL/TLS 证书使用 ACME,您可以轻松地自动证书颁发和更新过程,从而减轻了管理 SSL/TLS 证书的负担。 以下是一些常见的 ACME 客户端工具: 1. Certbot:Certbot 是由 Let's Encrypt 开发的一个免费、开源的自动证书管理工具,它支持大多数主流 Web 服务器和操作系统。 2. acme.sh:acme.sh 是一个简单易用的 ACME 客户端,它可以轻松地自动证书管理过程,支持多种 API 和 DNS 验证方式。 3. lego:lego 是一个用 Go 语言编写的 ACME 客户端,它可以自动证书获取和更新过程,支持多种 API 和 DNS 验证方式。 使用 ACME 客户端,您可以轻松地自动证书获取和更新过程,从而减轻了管理 SSL/TLS 证书的负担。请注意,在使用 ACME 客户端之前,您需要先配置您的 Web 服务器以正确使用证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值