现在为了安全考虑基本都使用了https协议访问,但是随之而来的就是要部署ssl证书,之前都是自己手动申请后在群晖的设置里导入证书,但是存在一个问题就是证书到期后没有办法自动续期,导致不可信访问受限,这里我以自己的亲身经历为大家推荐Let’s Encrypt和TrustAsia两家的SSL证书群晖部署方式,前面证书是3个月有效期,到期自动续订,后面是1年期证书,也是到期自动续订,具体方法如下:
一、Let’s Encrypt的证书群晖部署方式,是通过py进行计划任务每3个月定期续订更新。
1、下载我的执行脚本,如果群晖DSM版本是7一下,需要安装py套件,如果是DSM7以上默认就用py不需要安装。点击下载脚本
2、解压后打开config文件,按照下图进行域名设置和服务商设置。
3、将下载的脚本解压上传到群晖,文件放哪里自己可以选择,记住路径即可,后面要用。
4、最后在群晖控制面板–计划任务里新增一个用户定义脚本,名称自己起,用户账户选择root,计划选择第2个当天后每月运行,用户设置里用户定义脚本为:
/volume1/docker/acme/cert-up.sh update >> /volume1/docker/acme/log.txt 2>&1
#其中/volume1/docker/acme/路径为自己上传acme的路径,上面两个都要改成自己的
5、设置完成保存后可以手动运行一次,这样稍等一会设置没有问题的话证书就会自动下发并设置为默认证书,也可以通过上传文件夹下的log文件查看进度。
二、TrustAsia的证书群晖部署方式,是通过官方的DDNS实现的,证书是1年期的到期自动续订更新。
1、使用官方的方法有个前置条件需要你的域名是在腾讯云购买的才行(如果是dnspod买的可以登录腾讯云看看,这两家是一起的应该在腾讯云里也可以看到域名信息),因为目前官方只支持腾讯云的,需要的可以去腾讯云购买一个域名或者转移到腾讯云也可以,此种方法部署特别简单,而且证书有效期1年,时间比较长,强烈推荐。
2、如果腾讯云的域名已经准备好了,登录腾讯云控制台,右上方点击头像选择访问管理–访问密钥–api密钥管理,弹出对话框继续即可,然后新创建一个密钥。
3、然后进入群晖的控制面板–外部访问–DDNS,新增,服务商选择腾讯云,填写Secretid和SecretKey,外部地址选择自动,可以进行测试连接下是成功,最后切记勾选方框,要不然只进行dns解析,不申请证书,以上设置完成后保存稍等片刻即可完成证书申请及dns绑定。