为什么现在SSL证书有效期越来越短？

神应用！5分钟搞定SSL证书的全自动续签、部署，支持9种DNS服务商，极空间NAS部署「Certimate」

前言

很多折腾NAS的用户，都喜欢使用NAS来提供一些个人服务，然而在提供服务的同时，域名管理和https加密访问却很麻烦。

尤其是自去年开始，阿里云等DNS服务商提供的免费SSL证书时长，从1年降低到了3个月，这让众多需要使用https服务的用户感到头痛，他们需要经常记录和关注SSL证书是否到期，以免自身的服务出现异常。

今天，cherry为大家带来一款专业的SSL证书自动续签、部署工具——Certimate，它会在已申请证书过期前 10 天自动续期，并且每天检查一次证书是否快要过期，快要过期时会自动重新申请证书并部署到目标服务上。

项目特征：

• 支持私有部署：部署方法简单，只需下载二进制文件并执行即可完成安装。
• 数据安全：由于是私有部署，所有数据均存储在本地，不会保存在服务商的服务器上，确保数据的安全性。
• 操作方便：通过简单的配置即可轻松申请 SSL 证书，并将证书部署到用户指定的目标上，然后在证书即将过期时自动续期，无需人工干预。

一、系统部署

1、拉取镜像

本项目使用的是阿里云镜像源，因此我们可以直接使用极空间内置的自定义拉取功能下载镜像。打开极空间docker应用，依次点击镜像—仓库—自定义拉取，输入以下URL：registry.cn-shanghai.aliyuncs.com/usual2970/certimate:latest

镜像包下载完成以后，切换到本地镜像标签页，选择下载的certimate镜像，双击或者添加到容器启动配置。

2、创建容器

Certimate对cpu、内存的占用并不高，如果不喜欢一直关注容器性能的用户，可以选择以去掉性能限制。

【文件夹路径】：首先我们来设置容器路径映射，选择文件夹路径标签页，点击添加—选择添加文件/文件夹。

在自己喜欢的目录下新建一个certimate的文件夹，我这里比较常用的是/SATA存储11/docker。

添加以后，在装载路径中填入/app/pb_data。

【端口】：默认的容器端口为8090，这个不能修改。左侧的本地端口，自定义为不冲突的端口即可。

3、设置远程访问

如果家里没有公网，我们可以通过极空间私有云内置的远程访问功能打开为知笔记。选择【远程访问】，然后创建一个新的链接，备注填写certimate，URL填写127.0.0.1:容器本地端口。

二、系统使用

1、系统设置

打开certimate的webui，输入下面的默认账号密码登录。

用户名：admin@certimate.fun
密码：1234567890

进入后首先点击右上角头像，选择系统设置-密码，在这里把默认的密码修改掉。

接着可以设置消息推送，以保证及时得知系统自动运行的结束。这里建议使用钉钉bot或者webhook、server酱，具体webhook的使用方法，可以看我之前的文章。

在系统设置中，还有一个CA厂商，一般来说建议选择Let’s Encrypt。

2、新增DNS商授权

支持阿里云、腾讯云、华为云、七牛云、AWS、CF、Namesilo、GoDaddy、PowerDNS等9个DNS服务商。此外，还支持Http Request、本地、SSH、Webhook、K8s等部署方式。

具体的支持列表。

这里以阿里云为例，我们需要填入阿里云提供的AccessKey信息来访问官方API。

登录阿里云控制台，点击头像，选择AccessKey控制台。建议大家选择新建一个子AccessKey，确保不会因为Key泄露导致的账号被黑。

注意，每一个子AcessKey都只会显示一次密钥，所以请生成好以后及时下载密钥文档。

此外，对于AcessKey需要具有访问域名及 DNS 解析的管理权限，具体的权限清单请参阅各服务商自己的技术文档。

3、增加域名

SSL自动续签分为申请配置、部署配置两个模块，申请配置指的是自动从获取新的SSL证书，部署配置指的是将证书自动部署到指定的服务内。

在申请配置下，配置好DNS服务商以后，我们就可以点击左侧域名列表里去新增域名了。

除了基础信息外，下方还有一个高级设置可供自定义修改。原则就是看得懂就改，看不懂别动。

接着进行部署配置，我们需要对证书部署方式进行配置，目前支持阿里云、腾讯云、七牛云、华为云等CDN、OSS里。

对于NAS用户来说，最核心的不是云平台上的SSL，而是我们本地容器使用的SSL证书，因此需要使用本地部署和SSH部署。本地部署就是映射路径直接保存，SSH部署则通过SSH授权去访问。

本地部署的授权配置方法选择本地部署，然后核心点在于填写证书和密钥的保存路径，因此在创建容器的时候需要提前将宿主机中需要使用SSL证书的地方，映射到容器目录内。

4、开始部署

切换到域名列表，对需要自动部署的域名旁勾选上是否启动，然后点击立即部署。

部署后，可以在左侧的部署历史里查看是否部署成功，如果部署失败了，点击日志查看错误原因。

成功的日志里，可以看到申请的SSL证书下载地址，以及部署的进度信息

总结

不仅VPS、ECS等设备中，NAS本身往往也需要SSL证书来提供更安全的服务。虽然极空间官方提供了十分优质的内网穿透服务，支持我们通过各个平台的客户端轻松访问和操控NAS，但内穿依旧无法覆盖所有使用场景，用户对官方DDNS和SSL证书服务的需求也在逐步增加。

通过极空间部署certimate容器，可以实现所有域名的SSL证书自动管理，解放繁琐的记录、申请、替换工作。

目前，极空间已更新了SSL功能，DDNS功能也开始外测，相信不久后，所有用户就会收到OTA推送啦~ 下一步，cherry希望极空间可以进一步完善官方反代以及证书管理功能，让NAS上的网络和端口功能优化的更完善一些，以实现更简单、更放心的建站、对外应用等服务。

本内容来源于@什么值得买APP，观点仅代表作者本人 ｜作者：可爱的小cherry