如何通过acme.sh在群晖上申请ZeroSSL泛域名证书并自动续期适配80端口封锁？

说明 适配场景：运营商封锁 80 端口，无法通过 HTTP-01 验证申请证书 证书类型：泛域名 SSL 证书（xjunqiang.cn+ *.xjunqiang.cn），有效期 90 天 核心保障：自动续期 + 自动同步到指定证书目录，永久有效 一、前置准备 群晖开启 SSH 并登录，切换 root 用户： sudo -i 获取阿里云 AccessKey（域名解析需托管在阿里云）： 登录阿里云控制台 → 头像 → AccessKey 管理 → 创建 AccessKey 保存AccessKey ID和AccessKey Secret（后续配置用） 二、安装 acme.sh（适配群晖精简系统） # 强制安装acme.sh（忽略crontab/socat提示） curl https://get.acme.sh | sh -s email=你的邮箱@163.com --force # 加载acme.sh（群晖ash shell无需bashrc） alias acme.sh='/root/.acme.sh/acme.sh' 三、配置阿里云 API 并申请证书（DNS-01 验证） # 替换为你的阿里云AccessKey export Ali_Key="你的AccessKey ID" export Ali_Secret="你的AccessKey Secret" # 申请泛域名证书（自动添加/删除DNS TXT记录） /root/.acme.sh/acme.sh --issue --dns dns_ali -d xjunqiang.cn -d *.xjunqiang.cn --force 等待脚本执行完成，看到Cert success即为申请成功 证书生成路径：/root/.acme.sh/xjunqiang.cn_ecc/ 四、将证书部署到未使用的 QU91tw 目录（安全替换） # 1. 备份QU91tw原证书 mkdir -p /usr/syno/etc/certificate/_archive/QU91tw/bak cp /usr/syno/etc/certificate/_archive/QU91tw/*.pem /usr/syno/etc/certificate/_archive/QU91tw/bak/ # 2. 清空QU91tw旧证书 rm -f /usr/syno/etc/certificate/_archive/QU91tw/{cert,chain,fullchain,privkey}.pem # 3. 复制新证书（适配acme.sh的.cer格式→群晖.pem格式） cp /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.cer /usr/syno/etc/certificate/_archive/QU91tw/cert.pem cp /root/.acme.sh/xjunqiang.cn_ecc/ca.cer /usr/syno/etc/certificate/_archive/QU91tw/chain.pem cp /root/.acme.sh/xjunqiang.cn_ecc/fullchain.cer /usr/syno/etc/certificate/_archive/QU91tw/fullchain.pem cp /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.key /usr/syno/etc/certificate/_archive/QU91tw/privkey.pem # 4. 修复证书权限（群晖硬性要求） chmod 400 /usr/syno/etc/certificate/_archive/QU91tw/*.pem chown root:root /usr/syno/etc/certificate/_archive/QU91tw/*.pem # 5. 验证证书有效期（应显示2026-03-26） openssl x509 -in /usr/syno/etc/certificate/_archive/QU91tw/cert.pem -noout -dates 五、创建证书同步脚本（续期后自动覆盖 QU91tw） 　　这里的QU911w是我自己在DSM的证书正添加的，这个可以在SSH中去查看 # 创建同步脚本 cat > /root/.acme.sh/sync_qu91tw.sh << EOF #!/bin/bash # 同步续期后的证书到QU91tw cp /root/.acme.sh/xjunqiang.cn_ecc/xjunqiang.cn.c