시놀로지 SSL(acme.sh) 업데이트 실패 해결
얼마전에 아래처럼 잡담을 쓴 적이 있었습니다.
1번 게임패스는 일시적으로 MS서버가 정신을 못차려서 그랬는지 시간 지나서 다시 시도하니까 바로 해결이 되었는데, 시놀로지 SSL 인증서 갱신은 죽어도 안되다가 결국 한달 넘기고, 한달에 한번 정기적으로 갱신하도록 작업 스케쥴러로 등록했는데 어제 또 실패했다고 그래서 원인을 찾아 이리저리 헤매였죠. acme.sh 깃헙은 물론이고 문서를 수백개를 찾아 헤매었습니다. CloudFlare API도 몇번이고 지우고 다시 만들고 했는데 해결이 안되더요. Log 찍어보면 클플 응답은 9109 에러만 나오고.. 뭔가 인증 문제라고 보이는데, 문제는 같은 시놀로지에서 클플 DDNS 갱신은 잘 되고 있었으니 뭔가 제 IP가 블럭을 당했다거나 그런 건 아니였고요..
그러다가. 터미널 접속해서 acme.sh 디렉토리로 가보니 제 도메인명(abc.com으로 지칭하겠습니다)으로 생성된 디렉토리가 하나 있더라구요. 들어가보니 파일이 여러개 있고, 그 중 abc.com.conf 라는 파일이 하나 있어서 파일을 열어보니 이런 저런 내용이 있는데, CF_로 시작하는 변수들이 있습니다. CF_Token, CF_Account_ID, CF_Zone_ID 등인데 이 중에서 CF_Token이라는 변수에 Value가 아무리 봐도 예전에 생성했던 CloudFlare API 토큰 같았단 말이죠... 혹시나 싶어서 해당 값을 현재 발급받아둔 API 토큰으로 대체하고 다시 갱신을 시도하니까.. 잘.됩.니.다.
DSM 작업 스케쥴러에서 안되길래 터미널에서 시도했었고 실패, 그래서 신규 발급할 때처럼 export CF_Token으로 선언했음에도 불구하고, 도메인명.conf 파일에 명기되어있는 CF_Token 변수의 값을 우선 사용하도록 acme.sh의 구조가 짜여있는 것 같습니다. 3월에 갱신하고 그 사이에 제가 세팅되어있던 Token을 지우고 다시 발급받는 통에 유효하지 않은 토큰이 계속 도메인명.conf 내에 캐시처럼 남아있던 것이 영향을 미친 경우네요.
혹시나 인증서 갱신에 실패하고 하라는거 다 해봤는데 안되는 경우 참고하시면 될 것 같습니다. DSM 7.0, 개인도메인의 와일드카드 인증서 운영을 위해 acme.sh를 사용하는 경우에 적용할 수 있습니다(다른 환경에서는 확인하지 못했습니다).
- cloudflare api key가 정상인지 확인할 것
- cloudflare api key가 문제없는 경우 시놀로지에 터미널 접속 후 명령 실행
- {domain.tld}는 개인 도메인명을 찾으시면 됩니다. 위 제 케이스로 대체하면 /usr/local/share/acme.sh/abc.com/abc.com.conf가 됩니다.
# cd /usr/local/share/acme.sh/{domain.tld}
# vi {domain.tld.conf}
- CF_Token 키의 value를 CF API Token 값으로 교체하고
- 아래 갱신 명령어 구문 실행하면 정상적으로 갱신됩니다.
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
