참고 사이트.
(2021.11.29추가. 시놀로지 와일드카드로 자동갱신이 안되어서 윈도우 스케줄러로 자동갱신중이다. 물론 시놀로지 나스쪽 갱신은, 수동으로 제어판-보안-인증서에서 인증서 가져오기로, 기존 인증서교체순서로 해주고 있다.
다음 사이트를 참고하여 다시한번 자동갱신되는지는 3달후에 해보기로 하겠음
https://www.vericras.com/server/synology-nas-letsencrypt-wildcard-ssl )
1. 그림을 통한 잘 설명된 사이트
https://blog.naver.com/jcjee2004/221831609605
[Synology] 시놀로지에 Let's Encrypt 와일드카드 인증서 적용하기
시놀로지의 제어판에서 발급 받을 수 있는 Let's Encrypt 인증서는 90일 짜리 SSL 인증서 입니다...
blog.naver.com
2. 시놀로지 메뉴얼 DNS방법 - 위에 대한 내용에 추가적으로,, 자동갱신이 되지않는다는 점을 명시함.
https://blog.eunpoong.com/1185
시놀로지 NAS, Let's Encrypt WildCard SSL 적용
2020-03-01. 하기 방법은 Manual DNS 방법일 시 schedule auto renew가 적용안됩니다. -> renew 시점에 dns txt 값이 변경되서 validation이 진행안됨. -> cloudflare로 nameserver를 변경하여 다시 설정함 DSM 6...
blog.eunpoong.com
그래서 DNS api를 제공하는 DNS 사이트를 이용하던가(cloudflare같은), Cname을 통한 Alias DNS방법을 이용함.
일단
3. CNAME 방법
https://ckhacker.tistory.com/81
DNSZi 에 등록된 도메인 Let's Encrypt 인증서 acme.sh 로 생성하기
acme.sh 는 여러 DNS 서버에 대해 자동으로 Let's Encrypt 인증서를 발급해주는 기능을 제공하고 있다. 자세한 내용은 아래 링크 참고 https://github.com/Neilpang/acme.sh/wiki/dnsapi Neilpang/acme.sh A pure..
ckhacker.tistory.com
4. DNS api방법
https://blog.naver.com/clove7802/221703655436
시놀로지 나스 Let's Encrypt SSL 와일드카드 인증서 발급/자동재발급 하기
이 글은 DSM 6.2환경에서 작성되었으며 클라우드플레어 ddns사용을 전제로 작성되었습니다. 원문을 확인...
blog.naver.com
나는 일단 1번 방법까지 해두었다. DNS갱신시점이 10월인데 , 그때 보기로 하자.
순서도. 나스의 내계정명 부분 변경, 내도메인부분 본인맞게 변경
스크립트 다운로드
$ wget https://raw.githubusercontent.com/acmesh-official/acme.sh/master/acme.sh
권한변경
$ sudo chmod a+x acme.sh
실행
$ /var/services/homes/현재계정이름/acme.sh --issue --dns --force -d 내도메인 -d *.내도메인 --yes-I-know-dns-manual-mode-enough-go-ahead-please
현재위치가 위 위치이므로, 그냥
$ ./acme.sh ~~ 이렇게 해도 됨.
결과
Add the following TXT record:
Domain: '_acme-challenge.내도메인'
TXT value: 'q--F2PV블러블러블러NmTpIuo'
Please be aware that you prepend _acme-challenge. before your domain
so the resulting subdomain will be: _acme-challenge.내도메인
Add the following TXT record:
Domain: '_acme-challenge.내도메인'
TXT value: 'GQywYeT-블러블러블러Y4mspGUXcI'
도메인등록한 사이트에 도메인 관리에 들어가서 레코드 등록을 한다.
위내용중
Domain : _acme-challenge.내도메인 인데 , 웹DNS등록시에 ksdom의 경우, 앞 서브도메인만 써야한다.
이것때문에 ㅠㅠ.. 얼마나 골아팠는지. 즉, _acme-challenge 만 써주면된다.
TXT : 나온 밸류값
부분이 2번 나오는데, 나온거 모두 DNS관리에서 추가해준다.
DNS업체의 서버의 갱신 주기에 따라 이 추가한것이 반영이 빨리 될수도있고 늦게될수도 있다.
확인방법.
nslookup 한후,
set type=txt 엔터
_acme-challenge.내도메인명 해줘서 값이 잘 추가됨을 보이면된다.
확인이 되면 (이게 중요하다. 네임서버에등록해도 일정시간이 필요하기때문에, 쿼리가 되어 응답된 값이 TXT가 잘 나와주면, 5분정도 지나니 나는 반영이 되었다.)
이제 인증서를 받기 위해 갱신 renew를 해준다.
인증서 갱신하기
$ /var/services/homes/내계정명/acme.sh --renew --dns --force -d 내도메인 -d *.내도메인 --yes-I-know-dns-manual-mode-enough-go-ahead-please
인증서위치
사용자계정으로 작업을 하고있다면, /var/services/homes/내계정명/.acme.sh/내도메인 폴더이나,
이후 갱신시 만들어지는 인증서의 위치는 /root/.acme.sh/내도메인 폴더 이며, 위 사용자 폴더는 의미가 없다고한다.
DSM에 인증서 추가하기
만들어진 폴더에서 PC로 가져와서 DSM에 새 인증서추가
필요파일3개, 등록시 기본인증서로 등록에 체크.
개인키-내도메인.key
인증서-내도메인.cer
중간인증서-ca.cer
DSM에서 추가한 인증서의 위치
root 로 이제 계정변경한다
$ sudo -i
cat /usr/syno/etc/certificate/_archive/DEFAULT
vjSF76
이런식으로 나온다면, vjSF76 가 기본인증서 위치이므로
/usr/syno/etc/certificate/_archive/vjSF76 가 된다.
갱신된 인증서를 DSM에 등록
3개의 cer과 1개의 key 를 복사한다.
스케줄러등록 인증서 자동갱신
--------------
# 인증서 갱신
/var/services/homes/내계정명/acme.sh --renew --dns --force -d 내도메인 -d *.내도메인 --yes-I-know-dns-manual-mode-enough-go-ahead-please
# 갱신된 인증서를 시놀로지에 등록
/bin/cp /root/.acme.sh/내도메인/내도메인.cer /usr/syno/etc/certificate/_archive/vjSF76/cert.pem
/bin/cp /root/.acme.sh/내도메인/ca.cer /usr/syno/etc/certificate/_archive/vjSF76/chain.pem
/bin/cp /root/.acme.sh/내도메인/fullchain.cer /usr/syno/etc/certificate/_archive/vjSF76/fullchain.pem
/bin/cp /root/.acme.sh/내도메인/내도메인.key /usr/syno/etc/certificate/_archive/vjSF76/privkey.pem
# nginx 서비스 재시작
/usr/syno/sbin/synoservicectl --reload nginx
-------------------
이구문을 스케쥴러에 주기를 정해서 등록하면 자동갱신을 하게된다.
