Testato su DSM 6.2.4
Collegarsi via SSH al server NAS come indicato in questo articolo dedicato, eottenere i ì permessi root
sudo -i
Posizionarsi nella cartella radice
cd /
A questo punto è neccesario scaricare lo script acme.sh
wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh
Assegnare i permessi di esecuzione allo script
chmod a+x acme.sh
Successivamente si emette il certificato, avendo cura di sostituire enricomarogna.com con il proprio dominio
./acme.sh --issue -d *.enricomarogna.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please
Si ottiene un output di questo tipo
Registering account
Registered
ACCOUNT_THUMBPRINT='abjJHFIUTDGIBDYDDJBDJKkhHk'
Creating domain key
The domain key is here: /root/.acme.sh/*.enricomarogna.com/*.enricomarogna.com.key
Single domain='*.enricomarogna.com'
Getting domain auth token for each domain
Getting webroot for domain='*.enricomarogna.com'
You need to add the txt record manually.
Add the following TXT record:
Domain: '_acme-challenge.enricomarogna.com'
TXT value: 'ThIsISNoTtHeReAlKeY'
Please be aware that you prepend _acme-challenge. before your domain
so the resulting subdomain will be: _acme-challenge.enricomarogna.com
Please add the TXT records to the domains, and re-run with --renew.
Please add '--debug' or '--log' to check more details.
I dati di interesse sono Domain e TXT value e devono essere utilizzati nella gestione del DNS, nel mio esempio su Google Domain:
Una volta che il record è stato registrato, avviare lo script acme.sh con il flag --renew.
Nota: Generalmente l'aggiornamento del DNS avviene in qualche minuto, ma il tempo potrebbe variare in base al provider. Lanciare lo stesso comando dopo 3 mesi per il rinnovo del certificato.
./acme.sh --renew -d *.enricomarogna.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please
Se tutto va bene, si ottiene un output come quello riportato di seguito:
Your cert is in /root/.acme.sh/*.enricomarogna.com/*.enricomarogna.com.cer
Your cert key is in /root/.acme.sh/*.enricomarogna.com/*.enricomarogna.com.key
The intermediate CA cert is in /root/.acme.sh/*.enricomarogna.com/ca.cer
And the full chain certs is there: /root/.acme.sh/*.enricomarogna.com/fullchain.cer
Adesso copia i file in una cartella accessibile sul NAS. Nel mio caso ho creato una cartella chiamata Certs con la sottocartella enricomarogna.com al suo interno.
cp "/root/.acme.sh/*.enricomarogna.com/*.enricomarogna.com.cer" "/volume1/Certs/enricomarogna.com/enricomarogna.com.cer"
cp "/root/.acme.sh/*.enricomarogna.com/*.enricomarogna.com.key" "/volume1/Certs/enricomarogna.com/enricomarogna.com.key"
cp "/root/.acme.sh/*.enricomarogna.com/ca.cer" "/volume1/Certs/enricomarogna.com/ca.cer"
cp "/root/.acme.sh/*.enricomarogna.com/fullchain.cer" "/volume1/Certs/enricomarogna.com/fullchain.cer"
Vedrai che i file saranno nella cartella dopo aver eseguito le azioni cp.
Puoi chiudere la sessione SSH ora e per motivi di sicurezza, puoi anche disabilitare SSH. Tutto ciò che devi fare ora è importare il certificato sul Synology se lo desideri o iniziare semplicemente a usarlo dove ne hai bisogno!
Se usi il tuo Synology come reverse proxy e ssl ofloader come me, questo è molto utile! Vai al Pannello di controllo, quindi Sicurezza e Certificato. Scegli Aggiungi.
Poi importa il certificato
Inserisci i file richiesti.
Ora sei a posto e hai un certificato Let’s Encrypt wildcard.
