分享下为群晖阿里云域名申请Let's Encrypt泛域名证书的过程

多崎作

系统环境为macOS，acme.sh支持跨平台，个别命令会有所不同推荐参考文档修改个别参数。理论上腾讯云等等申请的域名皆可适用，按需修改即可。
若也是Mac或Linux且域名在阿里云申请，命令完全通用照复制黏贴即可。

3202年了NAS的管理页面也应该上HTTPS了，但阿里云的免费证书只支持单域名，比如example.com，直接申请的1年证书只能给单个域名上证书，子域名也可以申请，但若是有5个服务需要不同的子域名，阿里云的免费则是需要手动申请5次再在群晖中为不同服务使用不同证书，显得有些繁琐。若想使用通配符子域名比则需要申请泛域名证书了，通配符或泛域名证书的好处则是*.example.com，无论那个*号是什么，它都可以加上https，也不用手动选择证书直接当成群晖的默认证书即可。

不解释原理了，直接上命令吧。

1. curl https://get.acme.sh | sh -s email=my@example.com

复制代码

下载acme.sh

1. crontab -r

复制代码

由于我不是在群晖上使用acme.sh，所以定时任务自动更新证书没用故清除crontab的定时任务。

1. export Ali_Key="Your AccessKey ID"

复制代码

导入阿里云的AccessKey ID，替换双引号内的内容，可以在控制台申请。

1. export Ali_Secret="Your AccessKey Secret"

复制代码

同上，修改为自己的Secret即可。

1. acme.sh --issue --dns dns_ali -d example.com -d *.example.com

复制代码

生成证书，把example.com修改为自己的域名，注意后面那个*不要删掉，这个是代表泛域名。

等待1分钟左右，acme.sh会自动使用DNS验证的方式生成证书，生成完毕后会出现成功生成的证书的文件路径。

若终端报错显示【no matches found】，修改你的终端配置文件 ~/.zshrc ，在最后一行加入 【setopt no_nomatch】。

macOS生成好的路径就在你的用户目录下，Finder进入到用户目录下按下command + shift + . 显示 finder 隐藏文件。
会看到多出不少隐藏文件和文件夹，进入 .acme.sh -> example.com_ecc 就是证书的保存目录，example.com为你申请的域名。

若是给群晖使用，fullchain.cer就是证书，.key结尾的为密钥。添加证书的教程网上就有很多了，可以自行查阅。

此证书有效期为3个月，到期前重复一遍这个过程就能生成新的证书了。最近再研究一下怎样在群晖上全自动生成自动更新免去自己手打一次的麻烦。

学了简单的HTML5+CSS+Bootstrap后写了个NAS的导航页面，配合群晖的自动更新壁纸脚本来自动更新Bing每日壁纸来做配图，按分辨率自适应手机和电脑显示。

snowz

我用的Nginx Proxy Manager，还挺方便的

wangzorro

何必呢，直接freeSSL上申请一个二级域名的证书不就行了，一年一换。

多崎作

wangzorro 发表于 2023-9-22 14:48
何必呢，直接freeSSL上申请一个二级域名的证书不就行了，一年一换。

习惯自己申请不用第三方网站而已，个人喜好问题

多崎作

gbawrc 发表于 2023-9-22 14:45
求Bing每日壁纸图源

https://wp.gxnas.com/12232.html
https://github.com/kkkgo/DSM_Login_BingWallpaper

应该两个都可以用

ericone

https://github.com/acmesh-official/acme.sh

这里就有即食的。


群晖的话用这个更方便，设置个定时任务实现全自动。https://github.com/andyzhshg/syno-acme

Charles-Lee

马克学习

BONBONBON

我记得以前自动申请的话要80端口的，家宽的80口早就封完了

听弦

BONBONBON 发表于 2023-9-22 16:51
我记得以前自动申请的话要80端口的，家宽的80口早就封完了

对呀。现在这自动的不知道怎么弄，学习下。

重庆森林

阿里云不是本身送免费证书的？1年的

多崎作

重庆森林 发表于 2023-9-22 18:25
阿里云不是本身送免费证书的？1年的

子域名不可用，只能主域名用，开头已写

重庆森林

多崎作 发表于 2023-9-22 19:45
子域名不可用，只能主域名用，开头已写

建议你多试试

多崎作

重庆森林 发表于 2023-9-22 19:58
建议你多试试

阿里云申请免费证书的只能对应一个子域名，而Let's Encrypt申请的可以匹配任意*.example.com的子域名，如果我需要8个子域名对应不同的服务，那我就要在阿里云申请8次，而Let's Encrypt只需申请一次无论是router.example.com还是anyone.example.com都可以生效。



我特意上控制台申请了一个试试，第一个证书是Let's Encrypt第二个就是阿里云的免费证书。可见Let's Encrypt的可对任意子域名生效，而阿里云免费证书只可对单个test前缀的子域名生效。在阿里云申请泛域名证书或叫通配符域名是需要花钱的。你也可以多试试。

多崎作

BONBONBON 发表于 2023-9-22 16:51
我记得以前自动申请的话要80端口的，家宽的80口早就封完了

好像这个是另外一个验证方式，用DNS验证无需80端口只要自己能操作DNS解析证明域名是自己的就行。我用的这个方法脚本就是自动在阿里云控制台那修改DNS解析来验证。

多崎作

重庆森林 发表于 2023-9-22 19:58
建议你多试试

另外也是我表达不完整，我的意思是通配符子域名不可用。

zdcps

群晖自己的ddns一键全搞定不是很方便吗

cyberms

QNAP官方就支持，挺好的。

aaronz

snowz 发表于 2023-9-22 14:23
我用的Nginx Proxy Manager，还挺方便的

懒得腾讯云每年更新一次证书，我也换成npm了，自动续就是方便。