群晖Let's Encrypt证书申请
注意本文时效性:2024.9.23
引言
为了保证SSL证书的权威性和安全性,Let's Encrypt 会验证您对域名的控制权。
申请 Let's Encrypt 证书有以下的验证控制权的方式:
- Web验证:通过在http的有权威的目录下创建一个验证文件以验证对服务器的控制权
- Dns验证:通过在
DNS Record中添加TXT记录验证您对DNS的控制权
但是在中国大陆单独公网IP的80端口大多被电信联通移动封杀,所以基本只能用 Dns验证 申请证书。
但是可以拥有DNS管理权限的免费域名少之又少。
所以免费域名推荐使用:register.us.kg。
申请域名
无论如何都要做的准备工作
-
一个github账号或一个鼓鼓的钱包
-
一个cloudflare账号
方法一:
打开 register.us.kg。
但是,从 2024 年 10 月 22 日起,如果您的电子邮件域在批准列表中,您可以继续使用 GitHub 的免费 KYC 选项(如果您符合条件,下面的 GitHub KYC 选项应该可用)。批准的域名是:gmail.com zoho.com outlook.com yahoo.com yandex.com hotmail.com icloud.com 163.com 126.com qq.com
————us.kg
所以只能用以上邮件注册!
然后会跳转到github。
然后点submit提交审核,然后等邮件。
可以乘审核的空当,可以注册登录个Cloudflare。
一些附注
附注:Issue的大概翻译:
使用 GitHub 账户进行 KYC
请确保您的 GitHub 账户符合以下要求(全部为必填项):
您的账户详细信息(US.KG NIC 面板):*
请填写以下信息,否则您的申请将不会被处理:
- 用户名:
- 注册 .US.KG 域名的原因(为什么):
Tips:
附注:
我们很遗憾地通知您,我们已暂时停止 KYC 流程。
2024 年 10 月 16 日(UTC),我们收到了来自 .KG(US.KG 的母注册局)的官方警告电子邮件,通知我们 US.KG 域名正被用于对银行的攻击。银行管理员联系了 .KG 注册局,要求立即暂停和屏蔽 US.KG 域名。但是,我们立即采取行动屏蔽了相关子域名。注册局管理员通知我们,只要我们配合打击滥用域名进行犯罪活动,他们“就不会关闭 US.KG”。作为回应,我们立即关闭了 KYC 服务器。在此之前,我们已经收到了来自 .KG 注册局的几封电子邮件,以及来自安全公司的大量报告,通知我们我们的子域名正被用于一系列非法活动,包括但不限于网络犯罪、黑客攻击、银行攻击、钓鱼网站和恶意软件服务器。持续屏蔽恶意网站并维护我们域名的良好声誉是一项艰巨的任务,我们一直与 .KG 注册机构保持着密切沟通。
我们明白,如果事情继续这样发展下去,US.KG 域名将面临严重风险。我们的使命是向所有人提供免费域名,但不幸的是,US.KG 已成为犯罪组织将其用于非法目的的目标。该域名还被添加到几个“危险网站”黑名单中。要将其从这些名单中删除,我们必须清理所有与犯罪活动相关的域名。我们最初采用了宽松的 KYC 流程,让每个人都能轻松建立在线形象,但后来我们意识到,许多人使用虚假的 KYC 信息、虚假的身份生成器和其他方法来绕过 KYC 验证流程,有些人注册了多个帐户。我们没有仔细审查这些 KYC 提交内容,上传的大多数文件都已被删除。然而,这使得 US.KG 容易受到犯罪分子的滥用。
我们一直致力于提供免费和可靠的服务,并为能为如此多的用户提供免费域名而感到自豪。当然,我们打算继续这样做,但现在是时候对这些非法活动采取行动了。犯罪不仅会伤害他人,还会使 US.KG 及其子域名持续处于危险之中。
我们每月的捐款很少,DigitalPlat 基金会平均每月只收到几美元,很难为如此庞大的用户群维持免费域名服务。(顺便说一句,US.KG 的创始人 Edward 亲自自掏腰包为该项目捐赠了大量资金。)我们目前根本无法负担使用第三方 KYC 服务的费用。我们还没有更新 KYC 流程的具体计划,但如果您有任何建议,请随时通过 contact@nic.us.kg 与我们联系。
尽管面临挑战,我们仍致力于继续我们的服务。无论有多困难,我们都不会放弃。我们为能够帮助如此多的人获得自己的免费域名而感到自豪。这种情况使我们成为网络犯罪分子的目标。
由于工作量巨大,我们不确定何时能够恢复 KYC。但是,如果我们取消 KYC,可以预见的是,US.KG 将被严重滥用,US.KG 域名及其子域名都将面临重大风险。
在此期间,您可以选择向 DigitalPlat 基金会捐赠 1 美元或更多以创建新帐户。这将有助于防止个人在实施新的 KYC 系统之前为非法目的注册大量帐户,并确保真正需要域名的人仍能注册。您的捐款将全部用于支持我们的服务运营,并将 100% 分配给非营利目的。所有捐款将由 Hack 基金会和美国国税局监督,严格遵守美国税法的 501(c)(3) 条款。每一美元都将重新投入到 US.KG 的运营和维护中,包括 DNS 服务器、US.KG 仪表板服务器、API、域名续订甚至电子邮件服务。(登录后,选择“捐赠 1 美元或更多用于验证”选项以继续 KYC 验证,需要 GitHub 帐户)。此外,如果您想支持我的个人开发工作,您可以给我(Edward Hsing)买一个披萨,以支持我在 https://buymeacoffee.com/edwarddev 上开发和维护 US.KG 的工作。
或者,您可以等到我们推出新的 KYC 系统后再免费完成 KYC。
已经完成 KYC 并遵守可接受使用政策的帐户不会受到任何影响,您也永远不会被收费。所有激活的帐户都承诺永远免费。
但是,从 2024 年 10 月 22 日起,如果您的电子邮件域在批准列表中,您可以继续使用 GitHub 的免费 KYC 选项(如果您符合条件,下面的 GitHub KYC 选项应该可用)。批准的域名是:gmail.com zoho.com outlook.com yahoo.com yandex.com hotmail.com icloud.com 163.com 126.com qq.com
————us.kg
PS:机器审核,应该1h以内就会审核完成
登录注册cloudflare
注册/登录完成后:
接下来选Free计划....(接下来的自己办)
再在us.kg中注册域名,复制cloudflare的Ns记录:
然后等待cloudflare激活。
方法二
买一个cloudflare域名,但是需要一个鼓鼓的钱包,逃
群晖ddns配置
打开cloudflare:
再打开DSM->套件中心
打开ddns-go,配置好ddns-go密码
下面的Domain栏填域名,用ipv4的启用ipv4,用ipv6的启用ipv6。(如果用的是ipv6,应该选通过借口获取公网IP)读者自己应该清楚。
ps: 你也许需要启用 允许公网访问
最后再点最底下的保存退出。
申请SSL证书
Upd : 2024/12/16:更好的选择:zerossl,操作简单,并且会定期给你发邮件提醒你是否过期
准备好一个Linux环境(最好是ubuntu)
然后参考一些blog:
https://www.cnblogs.com/blogforeverything/p/18426804
curl https://get.acme.sh | sh -s email=你的邮箱
cd ~/.acme.sh/
然后创建一个 cert.sh 的文件,在里面写入:
export CF_Token="创建的API令牌"
export CF_Account_ID="账户ID(cloudflare域名管理页面查看)"
export CF_Zone_ID="区域ID(cloudflare域名管理页面查看)"
./acme.sh --set-default-ca --server letsencrypt
./acme.sh --issue --force --dns dns_cf -d 你的域名
然后会告诉你证书存储位置,直接上传到群晖,建议每几个月快过期后自己手动运行 cert.sh 手动导入证书。
浙公网安备 33010602011771号