群晖安装ssl证书并实现证书自动延期

已于 2024-03-06 14:59:37 修改
阅读量1.9k 收藏 31
点赞数 32
分类专栏: 群晖 文章标签: ssl linux 经验分享 学习 科技 学习方法 程序人生
于 2024-03-06 14:58:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wycqing/article/details/136503527
版权

目录

1.前言

2.docker版的acme.sh使用

3.脚本使用

4.编写定时脚本

5.执行与docker通信的脚本出错问题

1.前言

群晖Quickconnect 的访问速度太慢,很大一批都宁愿自己淘一个低延迟且水管足够的VPS服务器配合群晖NAS来做内网穿透使用,来达到提升外网访问速度的目的。而对于一个暴露在外网的NAS来说,让后台访问支持HTTPS协议变得尤为重要。很多人会说为什么不用群晖Quickconnect 服务,使用DSM系统自带的SSL证书?毕竟 Quickconnect 访问慢啊,另外我们很多时候需要在NAS上建站或者部署安装其他的项目都需要用到泛域名证书。

免费的泛域名证书 ——Let’s En­crypt 一个就搞定,而且还有相应的开源脚本 说明 · acmesh-official/acme.sh Wiki · GitHub 轻松便捷的签发证书,可以申请一个类似 *.domain.com 的单一证书,就可以适配 abc.domain.comxyz.domain.com 这类的子域名,而不需要单独为每个子域名申请证书了。

今天的介绍的重点是:如何使用群晖 SSL 自动签发脚本 为你的 群晖 NAS 配置 HTTPS 泛域名证书,并实现证书自动续签。

先看看效果

2.docker版的acme.sh使用

群晖套件中心安装Container Manager 旧版的是docker,新版改了名字。

打开Container Manager 在注册表中搜索acme.sh 下载图中neilpang/acme.sh的镜像

打开file station 在docker目录中新建acme.sh目录,用于存储生成的证书。

在容器中新增镜像,选着我们刚才下载的镜像。

注意要勾选自动重启

配置存储空间,

配置如下的环境

Ali_Key            #阿里云的key
Ali_Secret         #阿里secret
SYNO_Username      #群晖登录用户名
SYNO_Password      #群晖后台登录密码
SYNO_Certificate   #群晖证书名 填写需要替换的证书名 如果是默认群晖证书填"" 或synology
SYNO_Create        #域名证书创建, 填域名
SYNO_Port          #群晖后台登录端口号

在命令一行输入  daemon

3.脚本使用

我的域名是阿里云的。

其它域名商请参考 https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

在本地新建文件 , 命名为 cert.sh 粘贴如下代码,并适当修改

#!/bin/bash

# 域名

DOMAIN='填域名'

# # DNS类型,dns_ali dns_dp dns_gd dns_aws dns_linode根据域名服务商而定,CloudFlare就是dns_cf

DNS='dns_ali'

# DNS API 生效等待时间 值(单位:秒),一般120即可

# 某些域名服务商的API生效时间较大,需要将这个值加大(比如900)

DNS_SLEEP=120

# 证书服务商,letsencrypt

CERT_SERVER='letsencrypt'

generateCrtCommand="acme.sh --force --log --issue --server ${CERT_SERVER} --dns ${DNS} --dnssleep ${DNS_SLEEP} -d "${DOMAIN}" -d "*.${DOMAIN}""

installCrtCommand="acme.sh --deploy -d "${DOMAIN}" -d "*.${DOMAIN}" --deploy-hook synology_dsm"

docker exec acme-sh $generateCrtCommand

docker exec acme-sh $installCrtCommand

右键点击该文件属性,复制其位置,后续编写定时脚本需要。

4.编写定时脚本

在任务计划中,新建任务,其中用户账户选择root 不然会因为权限不足而无法执行,出现 下面的docker通信问题。

在计划中填入实行计划,由于一次申请证书有效期是三个月,可以选择每三个月执行一次,当然也可以每个月实行一次。

在运行命令中填入如下脚本,

 /volume1/homes/rain/dsm7/cert.sh   为脚本证书 cert.sh 所在位置,

/volume1/homes/rain/dsm7/log/acme/log.txt  为日志写入位置。

bash  /volume1/homes/rain/dsm7/cert.sh >> /volume1/homes/rain/dsm7/log/acme/log.txt 2>&1

5.验证

可以看到已经成功获取到了证书,并且已经部署到了群晖dsm中。

6.执行与docker通信的脚本出错问题


Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/acme-sh/json": dial unix /var/run/docker.sock: connect: permission denied
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/acme-sh/json": dial unix /var/run/docker.sock: connect: permission denied

原因分析:这是因为你当前的用户没有这个权限。默认情况下,docker 命令会使用 Unix socket 与 Docker 引擎通讯。而只有 root 用户和 docker 组的用户才可以访问 Docker 引擎的 Unix socket。出于安全考虑,一般 Linux 系统上不会直接使用 root 用户。即我们当前的用户不是root用户。

        解决办法:把我们当前的用户添加到docker组中就可以了,这样他们就是一家人了。

  1. 方法一

    第一步:sudo gpasswd -a username docker  #将普通用户username加入到docker组中,username这个字段也可以直接换成$USER。

    第二步:newgrp docker  #更新docker组

    第三步:再执行你报错的命令,此时就不会报错了。

  2.  方法二   使用超级用户执行,  
    sudo -i

weiraing
关注
  • 32
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Shell脚本实现生成SSL自签署证书
01-20
启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 代码如下: #!/bin/sh # # ssl 证书输出的根目录。 sslOutputRoot=”/etc/apache_ssl” if [ $# -eq 1 ]; then  sslOutputRoot=$1 fi if [ ! -d ${sslOutputRoot} ]; then  mkdir -p ${sslOutputRoot} fi cd ${sslOutputRoot} echo “开始创建CA根证书…” # # 创建CA根证书,稍后用来签署用于服务
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
docker https 证书/多域名通配符自动续期(群晖https证书
小单的博客专栏
12-23 3004
本文基于 freessl.cn 申请通配符域名自动续期。使用docker的原因是为了方便可靠,不会因为不同的操作系统缺包无法安装 acme.sh,也不会在操作系统中留下灿烂内容,acme 版的docker 包含了运行环境。
群晖DSM下套件及系统网页服务器ssl证书自动更新
jonhy的专栏
08-26 1798
关键字: DSM ssl 证书
群晖使用acme.sh自动续签&部署SSL证书(可兼顾一键回家)
qq_19243049的博客
09-21 1980
群晖上部署cloudflare提供的15年长期证书,用于OpenVPN;同时使用acme.sh自动续签&部署SSL证书,用于实现HTTPS访问群晖服务和cloudflare加密回源。
ubuntu server自动关闭屏幕背景灯_certbot-auto申请https证书自动续期
weixin_39915267的博客
11-20 224
一、先安装certbotwget https://dl.eff.org/certbot-auto chmod a+x certbot-auto二、申请证书注意:需要把要申请证书的域名先解析到这台服务器上,才能申请。填写自己的邮箱,域名(可以填多个)sudo ./certbot-auto certonly --standalone --email [email protected] -d abc.com -d ww...
群晖添加SSL证书,开启https
热门推荐
野生钢铁侠
11-30 2万+
群晖添加SSL证书,开启https
为远程群晖NAS的自定义域名免费申请SSL证书
远程穿透的博客
08-22 1069
在前面的介绍中,我们成功地将自己购买的域名,绑定到连接本地群晖NAS的数据隧道上,使我们能在cpolar的帮助下,在公共互联网使用特定域名访问到位于内网的群晖NAS。不过,由于使用的是http协议,让这样的访问连接很可能被黑客盯上。为了避免这种情况,我们需要将http协议升级为https协议。而升级https协议也并不复杂,从流程上看主要分为域名平台部分和cpolar客户端部分。现在,先让我们来看看如何处理域名平台部分的设置吧。
群辉7.X 利用acme.sh实现证书申请和续签
myquene的博客
11-20 1177
acme.sh可以直接申请ssl证书,只需要3个月一更新即可群辉现在好多资料感觉过时了,不好用,自己就记录一下。7.X我试着是没问题。
群晖自动续期SSL证书_怎样查看SSL证书的有效期?自动续期是否生效?
weixin_42524842的博客
01-17 4457
前面一篇教程教大家如何能够把网站的 HTTPS 的 SSL 证书自动续期。料神米课的学员动手能力都很强,已经很多都成功把证书续期了。但怎么看证书续期是否成功了呢?使用火狐 firefox 浏览器就可以很轻松地知道你的网站SSL证书的有效期,通过有效期是否延期可以知道证书续期是否生效。Ok, follow me.首先用 firefox 打开你的网站,在你网站左边的小绿锁上点击一下,会弹出一个菜单。点...
申请Let‘s Encrypt通配符HTTPS证书
hwadong的博客
03-13 545
这里需要特别说明一下,如果是宝塔建立网站“选择加密算法”用ECC,如果是群晖用,请选RSA。一、打开这个链接来到官网,点“立即开始”,用邮箱注册一个你自己的账号(注册过程省略);八、需要注意的是,记录类型这里选TXT,输入上面提示的主机记录和记录值,确定保存;三、输入你的域名,我们要申请泛域名证书,所以在“泛域名”和“包含根域”打勾;十、系统提示需要等待5分钟左右,这里只需要等待就行,所以后面的过程就忽略了;二、用刚才注册的账号登录,点“申请证书”;六、按照图上的提示,去你的域名后台添加;
Centos7安装给Apache服务安装配置SSL证书
01-07
一、目标 在Centos7.6平台下使用openssl给apache做自签名证书,并给apache设置HTTPS的SSL证书。(无坑版) 二、平台 [[email protected] ~]# uname -r 3.10.0-957.el7.x86_64 [[email protected] ~]# cat /etc/redhat-release  CentOS Linux release 7.6.1810 (Core)  [[email protected] ~]# rpm -qa |grep httpd httpd-tools-2.4.6-90.el7.centos.x86_64 httpd-2.4.6-9
Tomcat安装SSL证书步骤.txt
01-11
描述Tomcat服务器安装SSL证书步骤 描述Tomcat服务器安装SSL证书步骤 描述Tomcat服务器安装SSL证书步骤 描述Tomcat服务器安装SSL证书步骤 描述Tomcat服务器安装SSL证书步骤
windows服务器ssl证书创建、安装及配置方法
09-30
主要介绍了windows服务器ssl证书创建、安装及配置方法,需要的朋友可以参考下
阿里云负载均衡SLB安装SSL证书方法
09-30
主要介绍了阿里云负载均衡SLB安装SSL证书方法,需要的朋友可以参考下
一行命令,轻松搞定SSL证书自动续期
最新发布
03-05
一行命令,轻松搞定SSL证书自动续期。 SSL证书SSL证书管理,SSL证书 自动续期,SSL 证书自动更新,https证书管理,https证书管理,证书自动续签,nginx证书自动续期工具,nginx证书管理。
PHPStudy下如何为Apache安装SSL证书方法步骤
10-17
主要介绍了PHPStudy下如何为Apache安装SSL证书方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
acme自动化---免费SSL证书申请并自动续期
sywdebug的博客
07-19 9880
上面是重新写的,以下是之前写的,记录了一个问题没有删除,之前写的使用了freeSSL,但是使用acme.sh其实是不需要使用其他的配合,之前也是先接触到freeSSL,所以按照freeSSL教程做的,实际上使用其他的还可能会产生其他不太好的问题,之前有记录,但是这次重写删掉了。上去之后看一眼,cer 是证书文件,key 是私钥文件,都没有更新,变得是 csr 文件,这个文件是申请前创建的,与这个无关,但是可以看出是有自动续期,但是没有续期成功。
charles安装SSL证书
08-11
您好!要在 Charles 中安装 SSL 证书,您可以按照以下步骤进行操作: 1. 首先,确保您已经获取了要安装SSL 证书文件。通常,您可以从证书颁发机构(CA)或自签名证书中获得该文件。 2. 在 Charles 中,打开 "Proxy" 菜单,选择 "SSL Proxying Settings"。 3. 在 "SSL Proxying Settings" 窗口中,点击 "Add" 按钮来添加一个新的 SSL 证书。 4. 在 "Host" 字段中输入要安装证书的域名或 IP 地址。您可以使用通配符 "*" 来匹配多个域名或 IP 地址。 5. 点击 "Browse" 按钮,选择您的 SSL 证书文件。 6. 确保 "Enable SSL Proxying" 复选框被选中。 7. 点击 "OK" 完成证书安装。 现在,当您使用 Charles 代理进行 HTTPS 请求时,它将会使用您安装SSL 证书进行中间人攻击(MITM),从而使您能够查看和修改加密的通信内容。 请注意,为了使 Charles 正确工作,您还需要在设备上信任该证书。具体步骤可能因操作系统和浏览器而异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值