Certimate项目实现群晖NAS证书自动替换的技术方案

2025-06-03 06:16:45作者：咎岭娴Homer

开源的SSL证书管理工具，可以帮助你自动申请、部署SSL证书，并在证书即将过期时自动续期。An open-source SSL certificate management tool that helps you automatically apply for and deploy SSL certificates, as well as automatically renew them when they are about to expire.

项目地址：https://gitcode.com/gh_mirrors/ce/certimate

背景介绍

在群晖NAS设备上部署SSL证书一直是一个相对繁琐的过程，尤其是当证书需要定期更新时。Certimate项目为解决这一问题提供了自动化解决方案，但用户反馈在实际部署中仍存在需要手动干预的情况。本文将深入分析群晖NAS证书替换的技术细节，并提供完整的自动化实现方案。

群晖证书存储架构分析

群晖DSM系统采用分布式证书存储机制，证书文件分布在多个目录中：

主证书目录：/usr/syno/etc/certificate/system/default
归档目录：/usr/syno/etc/certificate/_archive/
各服务专用目录：
- SCSI服务：/usr/local/etc/certificate/ScsiTarget/pkg-scsi-plugin-server/
- Drive服务：/usr/local/etc/certificate/SynologyDrive/SynologyDrive/
- WebDAV服务：/usr/local/etc/certificate/WebDAVServer/webdav/
反向代理目录：/usr/syno/etc/certificate/ReverseProxy/

自动化替换方案实现

核心脚本设计

基于Certimate项目的实践经验，我们开发了一个健壮的证书替换脚本，主要包含以下功能模块：

日志输出系统：提供DEBUG、INFO、WARN、ERROR四级日志输出
证书目录发现：自动识别系统默认证书目录和所有服务专用目录
证书复制机制：安全地将新证书复制到所有目标目录
服务重启逻辑：智能判断并重启相关服务

关键代码实现

#!/bin/bash
# 设置脚本遇到错误时自动退出
set -e

# 日志系统
error_exit() { echo "[ERROR] $1"; exit 1; }
warn() { echo "[WARN] $1"; }
info() { echo "[INFO] $1"; }
debug() { [[ "${DEBUG}" ]] && echo "[DEBUG] $1"; }

# 证书源目录
certs_src_dir="/usr/syno/etc/certificate/system/default"

# 目标目录列表
target_cert_dirs=(
  "/usr/local/etc/certificate/ScsiTarget/pkg-scsi-plugin-server/"
  "/usr/local/etc/certificate/SynologyDrive/SynologyDrive/"
  "/usr/local/etc/certificate/WebDAVServer/webdav/"
  "/usr/syno/etc/certificate/smbftpd/ftpd/"
)

# 自动发现归档目录
default_dir_name=$(</usr/syno/etc/certificate/_archive/DEFAULT)
[[ -n "$default_dir_name" ]] && target_cert_dirs+=("/usr/syno/etc/certificate/_archive/${default_dir_name}")

# 复制证书到所有目标目录
for target_dir in "${target_cert_dirs[@]}"; do
  [[ -d "$target_dir" ]] && cp -f "${certs_src_dir}/"{privkey,fullchain,cert}.pem "$target_dir/"
done

# 服务重启逻辑
restart_service() {
  /usr/syno/bin/synosystemctl restart "$1" && info "已重启服务: $1"
}

# 关键服务重启
restart_service ftpd
/usr/syno/bin/synow3tool --gen-all
/usr/syno/bin/synow3tool --nginx=reload

技术难点与解决方案

目录发现问题：
- 通过解析/usr/syno/etc/certificate/_archive/DEFAULT文件获取当前活跃证书目录
- 使用通配符匹配反向代理目录/usr/syno/etc/certificate/ReverseProxy/*/
服务依赖关系：
- 优先处理基础服务(如ftpd)
- 使用synow3tool工具更新Web服务配置
- 按需重启相关套件服务
权限控制：
- 脚本需要root权限执行
- 保持原有证书文件的权限属性