syno_cert_renewal_shell
基于群晖计划任务定期执行此脚本,根据指定目录证书文件自动更新群晖证书
具备哪些功能特性
- 校验域名是否匹配设置的域名;
- 比较证书有效性,拒绝旧证书被导入;
- 有新证书时,才会重载群晖服务及Nginx服务;
- 可直接粘贴在群晖任务计划中,创建普通账户即可使用sftp/nfs/ftp/webdav/smb等协议上传证书,不需要使用root账户登录Shell,提高群晖数据安全性;
如何使用
更改Syno_cert_renewal_base_local_dir.sh参数
必填参数
# 泛域名如*.a.com填写a.com即可
cert_domain="a.com"
# ftp/nfs等定期上传更新证书的目录
cert_source_path="/volume1/homes/certd/_a_com"可选参数
# 最好要指定默认证书文件名称,这样就能并行使用多个脚本
cert_id_default=""
# 默认保存cert_id的文件名
cert_id_default_file="./cert_id_default"群晖Syno设置
根据cert_source_path新建对应的目录
/volume1/homes/certd是certd的home目录。
上传证书到cert_source_path
- 上传
fullchain.pem到/volume1/homes/certd/_a_com/下 - 上传
privkey.pem到/volume1/homes/certd/_a_com/下 -
添加任务计划
- 创建用户定义的脚本:控制面板->任务计划->新增->计划的任务->用户定义的脚本;
-
设置常规: 2.1 任务名称:英文/数字 2.2 用户账户:root
-
设置计划:根据自己需要设置定期执行的时间;
-
设置任务设置: 将Syno_cert_renewal_base_local_dir.sh修改好配置的参数后的代码复制进用户命令文本框内,保存;
试运行及检查结果
试运行任务计划
检查运行结果
-
查看日志: 根据设置的log_path,查看日志内最后一行是否包含Certificate [hostname] renewal process done!类似字样。
-
群晖界面查看结果: 任务计划->选择你创建的任务->操作->查看结果,如果显示如下状态则运行正常:
查看证书生效情况
首次需要在证书页面更改默认证书为脚本更新的证书,后续则不需要更改
注意事项
此脚本理论支持Syno 6.x和7.x,但仅在7.2使用过,其他的请自己尝试。