群晖通过 acme.sh 申请 ZeroSSL 泛域名证书(适配 80 端口封锁)+ 自动续期同步完整步骤
说明
一、前置准备
群晖开启 SSH 并登录,切换 root 用户:
sudo -i
二、安装 acme.sh(适配群晖精简系统)
# 强制安装acme.sh(忽略crontab/socat提示) curl https://get.acme.sh | sh -s email=你的邮箱@163.com --force # 加载acme.sh(群晖ash shell无需bashrc) alias acme.sh='/root/.acme.sh/acme.sh'
三、配置阿里云 API 并申请证书(DNS-01 验证)
# 替换为你的阿里云AccessKey export Ali_Key="你的AccessKey ID" export Ali_Secret="你的AccessKey Secret" # 申请泛域名证书(自动添加/删除DNS TXT记录) /root/.acme.sh/acme.sh --issue --dns dns_ali -d xjunqiang.cn -d *.xjunqiang.cn --force
四、将证书部署到未使用的 QU91tw 目录(安全替换)
# 1. 备份QU91tw原证书 mkdir -p /usr/syno/etc/certificate/_archive/QU91tw/bak cp /usr/syno/etc/certificate/_archive/QU91tw/*.pem /usr/syno/etc/certificate/_archive/QU91tw/bak/ # 2. 清空QU91tw旧证书 rm -f /usr/syno/etc/certificate/_archive/QU91tw/{cert,chain,fullchain,privkey}.pem # 3. 复制新证书(适配acme.sh的.cer格式→群晖.pem格式) cp /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.cer /usr/syno/etc/certificate/_archive/QU91tw/cert.pem cp /root/.acme.sh/xjunqiang.cn_ecc/ca.cer /usr/syno/etc/certificate/_archive/QU91tw/chain.pem cp /root/.acme.sh/xjunqiang.cn_ecc/fullchain.cer /usr/syno/etc/certificate/_archive/QU91tw/fullchain.pem cp /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.key /usr/syno/etc/certificate/_archive/QU91tw/privkey.pem # 4. 修复证书权限(群晖硬性要求) chmod 400 /usr/syno/etc/certificate/_archive/QU91tw/*.pem chown root:root /usr/syno/etc/certificate/_archive/QU91tw/*.pem # 5. 验证证书有效期(应显示2026-03-26) openssl x509 -in /usr/syno/etc/certificate/_archive/QU91tw/cert.pem -noout -dates
五、创建证书同步脚本(续期后自动覆盖 QU91tw)
这里的QU911w是我自己在DSM的证书正添加的,这个可以在SSH中去查看
# 创建同步脚本 cat > /root/.acme.sh/sync_qu91tw.sh << EOF #!/bin/bash # 同步续期后的证书到QU91tw cp /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.cer /usr/syno/etc/certificate/_archive/QU91tw/cert.pem cp /root/.acme.sh/xjunqiang.cn_ecc/ca.cer /usr/syno/etc/certificate/_archive/QU91tw/chain.pem cp /root/.acme.sh/xjunqiang.cn_ecc/fullchain.cer /usr/syno/etc/certificate/_archive/QU91tw/fullchain.pem cp /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.key /usr/syno/etc/certificate/_archive/QU91tw/privkey.pem # 修复权限 chmod 400 /usr/syno/etc/certificate/_archive/QU91tw/*.pem chown root:root /usr/syno/etc/certificate/_archive/QU91tw/*.pem # 重启nginx生效 systemctl restart nginx EOF # 给脚本添加执行权限 chmod +x /root/.acme.sh/sync_qu91tw.sh
六、绑定续期钩子(acme.sh 续期后自动执行同步)
# 写入续期钩子到证书配置文件 sed -i '$a RENEW_HOOK="/root/.acme.sh/sync_qu91tw.sh"' /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.conf # 验证钩子是否添加成功(显示RENEW_HOOK=脚本路径即成功) grep "RENEW_HOOK" /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.conf
七、配置 DSM 任务计划(兜底同步,双重保险)
八、验证所有配置(可选)
# 1. 查看acme.sh证书列表(确认Renew时间) /root/.acme.sh/acme.sh --list # 2. 手动测试同步脚本(无报错即成功) /root/.acme.sh/sync_qu91tw.sh # 3. 查看QU91tw证书最终有效期 openssl x509 -in /usr/syno/etc/certificate/_archive/QU91tw/cert.pem -noout -dates
九、备用命令(手动续期 / 同步)
# 手动续期证书 /root/.acme.sh/acme.sh --renew -d xjunqiang.cn --force # 手动同步到QU91tw /root/.acme.sh/sync_qu91tw.sh # 回滚QU91tw原证书(如需恢复) cp /usr/syno/etc/certificate/_archive/QU91tw/bak/*.pem /usr/syno/etc/certificate/_archive/QU91tw/ && systemctl restart nginx
------------------------------------------------------------------------------------------------------------------------------------------
核心保障逻辑
关键注意事项
DSM 任务计划需确保用户为 root,否则无权限操作证书目录
------------------------------------------------------------------完----------------------------------------------------------------------
补充:
任务计划名称不要用中文,用英文的。
如何查看当前的默认证书(SSH):cat /usr/syno/etc/certificate/_archive/DEFAULT
如何查看自己在DSM中创建的证书信息(SSH):openssl x509 -in /usr/syno/etc/certificate/_archive/QU91tw/cert.pem -noout -dates
浙公网安备 33010602011771号