一、现有的环境:
1、黑群晖1台:系统型号ds3617,系统版本:DSM 6.1.7-15284,申请证书之前请安装套件:Git Server;
2、阿里云申请的顶级域名一枚(本文用的是.com);
3、家庭宽带一条,运营商没封443端口(或者用VPS也可以,把域名绑定到VPS的IP上,申请后再把域名解析到群晖的IP)。
二、申请步骤
1、打开Putty,用root登录群晖。如果你的群晖没开启root的,请先开启群晖root(开启方法:https://wp.gxnas.com/1846.html),否则以下步骤没法继续进行;
2、获取安装代码(输入这行命令之前,请确认群晖已经安装Git Server套件):git clone https://github.com/Neilpang/acme.sh.git
3、进入安装目录:cd acme.sh
4、安装申请证书的脚本:./acme.sh --install --force
5、进入申请证书脚本的目录:cd ~/.acme.sh/
6、设置2个变量(Ali_Key值和Ali_Secret值,填写从你的阿里云后台获取到的AccessKeyId和Secret):
export Ali_Key=从阿里云后台获取的AccessKeyId
export Ali_Secret=从阿里云后台获取的Secret
7、开始申请证书:./acme.sh --issue --dns dns_ali -d 域名 -d *.域名
请把域名换成你要申请证书的域名,输入命令后会有个倒计时120秒的等待时间,请耐心等待完成。
8、由于系统生成的证书文件都在~/.acme.sh/域名/这个目录里面,群晖file station中无法直接看到,所以把证书目录复制到web目录下(复制到其他目录也行,方便导出就行,请把域名换成你要申请证书的域名):
cp -r /root/.acme.sh/域名 /volume1/web/域名
9、把证书导入到群晖(私钥、域名证书和中间证书对应以下3个文件),并把新的证书设置为默认。
10、关掉浏览器,重新打开域名,就会看到主域名和所有的子域名都有带锁的标志了。
11、证书有效期只有90天,到期以后按照上面的步骤重新申请和导入新证书即可。