WIN10+VMware Workstation 14 +DSM6.2详解（二）：安装Let's Encrypt证书实现泛域名SSL

前言：

1、本文为《WIN10+VMware Workstation 14 +DSM6.2详解（一）：安装》的续篇，本来第二篇是打算对动态域名DDNS在群晖上设置的几种方法进行归纳的，不过本站有值友发过相关的文章，所以把设置SSL做为第二篇，DDNS设置可以参考 rucent 发表的《群晖+aliDDNS解决动态IP访问》，也可以到参考我博客上的文章。

2、阿里云等等自身都可以申请到SSL证书，不过免费的都是单域名方式，而这里使用Let's Encrypt证书可以泛域名申请，这个在阿里等其他域名商是一项收费的服务。Let's Encrypt证书自之前免费开放泛域名申请后使用将近一年，由于较忙腾不出时间码字，文章也就等到现在才发出来。

（泛域名访问的意思就是任意二级域名均可用，比如smzdm.com为一级域名，而*.smzdm.com（星号代表任何字符）为二级域名，这样你用a.smzdm.com,b.smzdm.com等任意二级域名均可使用SSL。）

3、本文使用代码的方式进行申请，虽然也可以在一些网站上进行申请，但实际也就几行代码，替换复制粘贴就行，比网页申请还更方便。

4、确保宽带可以使用443端口并在路由做映射，并已经做好DDNS设置。

5、本文借鉴网上一些经验和自身看法，因每个人的看法和知识点面不同，如有错误欢迎指正。

一、硬性指标

首先你需要一个好路由，并非TPLINK之类不好，现在任何一款路由都可以实现端口映射，但对个人而言认为稳定和性能较好的还是华硕和网件两个品牌的路由。

好价华硕（ASUS）RT-AC68U 1900M AC双频 低辐射 智能无线路由器669元值友爆料原文：现件699，站内搜索全品能找到减30券！这款2.4GHz/5GHz双频路由器无线总传输速率达到1900Mbps，其中2.4GHz频率下传输速率600Mbps、5GHz频率下传输速率1300Mbps。华硕RT-AC68U1900M双频无线路由器配备5个千兆以太网借口，双USB借口分别为Uv黑洞a| 值6 评论3 收藏6去购买

其次，本文虽名为WIN10+VMW搭建的黑群，不过是入门或是尝试，为了数据和系统稳定性建议使用白群。

百科Synology 群晖 DS218play 2盘位NAS网络存储服务器 DiskStation DS218play支持双3.5英寸/2.5英寸机械或SSD固态硬盘，最高支持24TB容量扩展，内搭载四核Realtek RTD1296处理器（1.4GHz），1GB运存，最大可提供112MB/s持续读写性能。作为一款增强了多媒体功能的家用型NAS，支持4K/30fps视频内容编码传输。I/O扩展方面，包括2×USB 3.0和千兆LAN。 值23 点评0 原创6 好价42去购买查看详情

二、操作步骤

a、SSH连接群晖

打开PuTTY软件连接：主机名称输入你的群晖IP，连接类型为SSH，点击下面打开。

在弹出的命令行窗口依次输入帐号密码，连接群晖。

进行上面连接之前确保你的DSM开启主目录服务，就是有homes文件夹，到时生成的证书会在homes文件夹，没有的话你则可能需要root帐户登录，而生成的证书会放在根目录下，还需要WinSCP等软件进入根目录才能拷贝出来。

b、获取acme.sh代码并安装

1、获取代码
git clone https://github.com/Neilpang/acme.sh.git

2、进入目录
cd acme.sh

3、安装脚本
./acme.sh --install --force

4、设置API参数：支持很多域名服务商的域名证书申请，所以API参数要对应你的域名服务商，现在以阿里云域名为例，

export Ali_Key="替换为阿里云的key"
export Ali_Secret="替换为阿里云的secrcet"

其他如腾讯等域名DNS服务商和相关使用方法可以前往查找。

5、申请证书：
./acme.sh --issue --dns dns_ali -d yourdomain.site -d *.yourdomain.site

yourdomain.site替换你自己的域名。比如本站域名为zszsz.cn替换后为： ./acme.sh --issue --dns dns_ali -d zszsz.cn -d *.zszsz.cn

6、这时屏幕上自动计时120秒，在你的域名里自动添加一条TXT记录，自行进入域名服务商的域名解析里查看。

7、生成证书，放在home或homes/acme.sh/域名同名文件夹里面。

8、生成证书成功后，通过File Station，将第7步目录里的域名.key和域名.cer、cer三个文件下载下来，

9、打开控制面板--安全性—证书—新增—导入证书：

10、导入刚才下载的文件，中间证书ca.cer可以不用：

11、点击配置，对各个服务分配证书：

然后就可以无端口直接使用https做安全访问了。

C、SSL已经设置好，我们再来群晖设置一下子域名的访问

1、打开应用程序门户，群晖自带的服务启用自定义域，HSTS和HTTP/2打勾。

2、安装的套件可以自定一个二级子域名来代替端口形式访问，使用反向代理，比如transmission可以如下设置：

3、由于是泛域名SSL，虽然 你可以自定义多个二级子域名来进行无端口SSL访问，不过要记得将这些子域名先进行DDNS解析。

d、申请的LET’S证书只能用90天，90天以后需要更新证书

更新证书方式：重复第一个步骤，就是a点，SSH连接后输入

cd acme.sh 进入acme.sh 目录，

然后输入更新命令：
./acme.sh --renew -d yourdomain.site -d *.yourdomain.site

（yourdomain.site更换为你自己的域名）

三、小技巧：SSH快速复制代码

可能一些刚接触的人并不知道，所以还是把这个基础操作拿出来说一下：先复制你要输入的代码，然后在命令窗口输入光标处点鼠标右键就可以实现快速粘贴，这样就不用敲那么多字符了。

结语

群晖的可玩性还是很高的，有时间我会拿多些好玩的出来分享，比如网站、媒体服务器等。J3455这板子之前也尝试ESXI，但仍然没法搞定集显的直通只好作罢。群晖对资源的占用不是很高，所以在WIN10+VMW下24小时开机半年多时间没什么问题，长时间开机的话建议关闭硬盘睡眠模式。由于虚拟机对硬盘读写速度有一定的影响，所以大部份文件存放于WIN10里，也就没毕要理他拷贝文件的速度和网络性能了。说白了我仅仅是把他当成WINDOWS下的一个软件折腾而已，如果是存放数据还是建议白群靠谱。