使用acme.sh在Synology DSM上部署Let's Encrypt证书的实践指南

问题背景

在Synology DSM系统中使用acme.sh自动部署Let's Encrypt证书时，用户可能会遇到证书过期后无法自动更新的情况。本文详细分析这一问题的成因，并提供完整的解决方案。

核心问题分析

当使用acme.sh的Synology DSM部署钩子(synology_dsm)时，系统可能会出现以下错误提示：

Unable to find certificate: syn01.mydomain.com and is not set.

这种情况通常发生在以下场景：

1. 证书已过期但仍在DSM系统中存在
2. 部署钩子无法自动替换已存在的过期证书
3. 服务仍然绑定到过期证书上

详细解决方案

方案一：使用SYNO_CREATE参数强制创建新证书

1. 设置环境变量：

export SYNO_CREATE=1

2. 执行部署命令：

acme.sh --accountconf /acme.sh/account.conf --deploy --insecure --deploy-hook synology_dsm -d syn01.mydomain.com --debug 2

注意：此方法会创建一个新证书，但不会自动将服务切换到新证书。

方案二：手动删除过期证书后重新部署

1. 登录DSM控制面板
2. 进入"控制面板" > "安全性" > "证书"
3. 删除过期的证书
4. 重新运行acme.sh部署命令

优点：DSM会自动将服务切换到有效的证书(通常是Synology自签证书)

方案三：手动指定服务使用新证书

1. 在证书管理界面
2. 选择新部署的证书
3. 点击"配置"按钮
4. 为需要的服务分配新证书

技术原理深入

acme.sh的Synology DSM部署钩子工作原理：

1. 通过DSM的API接口进行证书管理
2. 默认行为是查找并更新现有证书
3. 当证书过期或无效时，可能需要特殊处理

--insecure参数的作用：

• 允许与使用自签证书的DSM接口通信
• 忽略证书验证错误

最佳实践建议

1. 监控证书有效期：设置提醒在证书到期前30天检查自动续期状态
2. 定期测试部署：每月手动运行一次部署命令验证功能正常
3. 日志检查：定期查看acme.sh日志确认自动续期成功
4. 备份配置：备份account.conf和证书文件

常见问题解答

Q：为什么需要SYNO_CREATE=1？ A：当系统中有同名证书但已过期时，部署钩子可能无法自动替换，需要强制创建新证书。

Q：服务没有自动切换到新证书怎么办？ A：需要手动在证书管理界面重新分配服务到新证书，或采用方案二删除旧证书。

Q：如何验证部署是否成功？ A：检查DSM证书列表中的有效期是否更新，并确认服务正在使用新证书。

通过以上方法和理解，用户可以确保在Synology DSM系统上稳定可靠地使用acme.sh管理Let's Encrypt证书，避免因证书过期导致的服务中断。