群晖用自己的DDNS+SSL证书

言和

全球NAS论坛


之前没怎么用过，前阵子搞了个双盘小nas


黑群晖（半洗白），这两天折腾了一下


用ipv6公网+DDNS，在外面也可以访问，挺好


因为我内存比较小，就没搞docker之类的了


首先是DDNS，可以用这个

https://github.com/NewFuture/DDNS


安装的话可以直接pip insatll ddns（不过群晖的python套件是没有pip的），也可以从源码运行，或者用二进制文件


如果要安装pip就这样，不用就略过（ssh切到root用户）
wget https://bootstrap.pypa.io/get-pip.py && python3 get-pip.py


DNS我选的是华为云，因为华为云的TTL可以设置低一点，最低1，我设置的30。免费，国际版免实名


在群晖设置面板，任务计划，设置一个按时的任务，每5分钟10分钟15分钟之类的都行，更短也行（记得用root用户）


华为云>我的凭证>访问密钥，可以获取到这个API密钥


命令是ddns --dns huaweidns --id 密钥ID --token 密钥 --ttl 30 --ipv6 域名


再然后是SSL证书，就是MJJ最熟悉的acme.sh


curl https://get.acme.sh | sh -s [email protected] --force


在ssh里安装，操作和在小鸡上一样，懒得说了


不过acme.sh华为云dns的参数名比较容易误导人，说一下

# HUAWEICLOUD_Username
# HUAWEICLOUD_Password
# HUAWEICLOUD_DomainName

DomainName是账号名（hw*******的），主用户应该是和Username同一个值，密码就是密码


然后acme直接指定证书到群晖默认证书的目录


在SSH里cat /usr/syno/etc/certificate/_archive/DEFAULT可以查看到一段字符

但是建议在群晖里随便创建一个证书先，默认的不要动，免得出问题了恢复不了(群晖的证书在控制面板>登陆门户)，可以导出默认的，再导入，就有两个了


也就是cat /usr/syno/etc/certificate/_archive/{字符}


/root/.acme.sh/acme.sh --issue --dns dns_huaweicloud -d 域名 --cert-file /usr/syno/etc/certificate/_archive/{字符}/cert.pem --key-file /usr/syno/etc/certificate/_archive/{字符}/privkey.pem --fullchain-file /usr/syno/etc/certificate/_archive/{字符}fullchain.pem


SSL证书搞定后执行systemctl restart nginx重启整个群晖的网页，不知道为啥我systemctl reload nginx证书没生效


acme.sh应该会自动续证书，不过在群晖里不知道会不会出问题，不放心可以自己再搞个定时任务