Для того, чтобы установить групповой (wildcard) сертификат в Synology NAS мы будем использовать скрипт acme.sh. Для аутентификации доменного имени мы будем использовать опцию DNS.
Сначала войдите в Synology с помощью SSH от имени администратора, а затем введите команду sudo -i, чтобы получить root доступ. Когда вы войдете в Synology с помощью ssh вы попадете в корень / root. Все команды далее будут запускаться из корня.
Теперь нам нужно получить скрипт и изменить права доступа, чтобы он выполнялся.
wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh chmod a+x acme.sh
Далее мы выдаем сертификат.
Замените *.marketingeek.ru своим собственным доменом. Чтобы добавить домен верхнего уровня или несколько доменов, добавьте -d «ваш домен»
./acme.sh --issue -d *.marketingeek.ru --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please --force
Вы получите вывод, как показано ниже:
Registering account
Registered
ACCOUNT_THUMBPRINT='abjJHFIUTDGIBDYDDJBDJKkhHk'
Creating domain key
The domain key is here: /root/.acme.sh/*.marketingeek.ru/*.marketingeek.ru.key
Single domain='*.marketingeek.ru'
Getting domain auth token for each domain
Getting webroot for domain='*.marketingeek.ru'
You need to add the txt record manually.
Add the following TXT record:
Domain: '_acme-challenge.marketingeek.ru'
TXT value: 'ThIsISNoTtHeReAlKeY'
Please be aware that you prepend _acme-challenge. before your domain
so the resulting subdomain will be: _acme-challenge.marketingeek.ru
Please add the TXT records to the domains, and re-run with --renew.
Please add '--debug' or '--log' to check more details.
Как вы можете видеть, вам нужно будет создать текстовую запись DNS с вашим провайдером доменных имен в соответствии с выводом, который я пометил. Само собой разумеется, что вам нужно использовать свои собственные записи.
После того, как вы создали запись вам придется снова запустить сценарий acme.sh с параметром --renew
./acme.sh --issue -d *.marketingeek.ru --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please --force --renew
Примечание. Обновление записей DNS может занять некоторое время. Зависит от вашего провайдера, для моего провайдера это меньше минуты. Для продления через 3 месяца вы можете просто запустить команду продления.
Если все прошло хорошо вы получите строчки, как показано ниже:
Your cert is in /root/.acme.sh/*.marketingeek.ru/*.marketingeek.ru.cer
Your cert key is in /root/.acme.sh/*.marketingeek.ru/*.marketingeek.ru.key
The intermediate CA cert is in /root/.acme.sh/*.marketingeek.ru/ca.cer
And the full chain certs is there: /root/.acme.sh/*.marketingeek.ru/fullchain.cer
Теперь скопируйте файлы в доступный общий ресурс на вашем NAS. В моем случае a сделал папку под названием Certs с подпапкой marketingeek.ru :
cp "/var/services/homes/your_user_name/.acme.sh/*.marketingeek.ru/*.marketingeek.ru.cer" "/volume1/Certs/marketingeek.ru/marketingeek.ru.cer"
cp "/var/services/homes/your_user_name/.acme.sh/*.marketingeek.ru/*.marketingeek.ru.key" "/volume1/Certs/marketingeek.ru/marketingeek.ru.key"
cp "/var/services/homes/your_user_name/.acme.sh/*.marketingeek.ru/ca.cer" "/volume1/Certs/marketingeek.ru/ca.cer"
cp "/var/services/homes/your_user_name/.acme.sh/*.marketingeek.ru/fullchain.cer" "/volume1/Certs/marketingeek.ru/fullchain.cer"
Вы увидите, что файлы будут в этой папке после выполнения действий копирования (cp).
Вы можете закрыть сеанс SSH сейчас и по соображениям безопасности вы также можете отключить SSH.
Все, что вам нужно сделать сейчас, это импортировать свой сертификат в Synology, если вы хотите, или просто начать использовать его там, где он вам нужен!
Перейдите в Панель управления, затем Безопасность и Сертификат. Выберите Добавить.
Затем импортировать.
И положить запрошенные файлы.
Теперь все готово, и у вас есть групповой ssl сертификат Let’s Encrypt.