本文受众主要面向广大群晖NAS用户
前言:
-
如果你只在局域网里通过ip地址访问群晖NAS,
-
如果你只使用QuickConnect来访问群晖NAS,
-
如果你只使用群晖官方的synology.me域名来访问群晖NAS,
-
或者你根本不在乎,
那你就没必要费力气看这篇教程。
因为,
-
市面上绝大部分SSL证书都是基于域名申请的,拥有自己的域名是前提。
-
群晖的QuickConnect本质是通过打洞或中继连接,不需要域名,也不需要SSL证书。
-
群晖的synology.me域名自带证书,不需要手动添加,而且已经默认配置好了。
-
点进来看的都是在乎的。
相比于HTTP,HTTPS是具有安全性的SSL加密传输协议
网上给群晖上SSL证书的教程不在少数,但都很模糊粗略,一些重要的细节没有讲明。
在此我以我个人经历为例,供各位参考,希望能帮助到更多处在困境中的人。
此文原创,转发需经本人同意,且注明出处,能直接分享本文链接最好。
没打水印的三张图片引用自网络,侵删。
流程梗概:
A. 申请免费的SSL证书
B. 下载证书压缩包到电脑并解压
C. 在群晖DSM的Web界面上安装SSL证书
D. 测试是否成功实现https访问
具体流程:
A. 申请免费的SSL证书
-
首先你需要一个域名,因为我是在腾讯云上的买域名,所以我拿腾讯云举例。
-
进入腾讯云官网,登录后,鼠标移至页面左上角的“云产品”,在弹出的目录中选择“SSL证书”,点击进入。
3. 进入“证书管理”页面后,视线下移,点击“申请免费证书”。
- 这时弹出“确认证书类型”窗口,要申请的免费证书就如图中所示,点击“确定”。
- 我们来到“证书申请”页面,开始输入第一项“通用名称”,也就是你的域名,如“mynas.com”,“home.mynas.com”,“home.mynas.top”,等等。但这里要注意:你在此申请的免费SSL证书是“单域名DV证书”,它仅对你输入的这一域名有效,举个例子:你输入的域名是“mynas.com”,那这个SSL证书就仅对“mynas.com”有效,对如“home.mynas.com”无效。如果你想安全访问“home.mynas.com”,那你就要重新为这个域名申请一个SSL证书。如果你有特殊需求,也可以自费购买多域名或泛域名型SSL证书,但价格非常高。
-
第二项“申请邮箱”,填自己的邮箱即可,建议与腾讯云绑定的邮箱一致。
-
第三项“证书备注名”,这个可以随意填写,日后也可以随意更改,不必纠结。
-
第四项“私钥密码”建议不填,以免造成不必要的麻烦。
-
第五项“所属项目”,就是“默认项目”不用改动。
- 在上述信息填写完成后,我们来到下一步“域名身份验证”,默认是“自动DNS验证”。这里要注意:使用“自动DNS验证”的前提是你的域名必须使用腾讯云进行域名解析,也就是说你的域名使用的DNS服务器必须是腾讯云的。假设我的域名在腾讯云购买,但在阿里云进行域名解析,那我在腾讯云为这个域名申请SSL证书的时候就只能选择“手动DNS验证”。
- 如果你选择的是“自动DNS验证”,那这条证书的解析记录会自动添加,请跳至第16步。
- 如过你选择的是“手动DNS验证”,那在点击“确认申请”后,会弹出以下界面。
这个时候你就需要在现在给你域名提供DNS解析服务的提供商(比如阿里云)那里手动添加一条解析记录(如下图红框里所示)。
- 以阿里云为例:我们来到阿里云,登录,在页面左上角搜索“云解析DNS”,然后点击下方的这一选项进入域名解析控制台。
找到自己的域名,点击“解析设置”。
然后点击“添加记录”(粉色线表示此域名使用的DNS服务器是阿里云)。
- 点击“添加记录”后弹出以下界面,按腾讯云提供的证书信息(图8红框)填写这3个空,点击“确定”。
- 返回到此界面,我们可以看到这条解析记录已经成功添加且状态正常。
- 经过10分钟左右的等待,我们的手机上会收到腾讯云发来的短信,邮件和微信通知,告诉我们SSL证书申请已经审核通过,这证明我们已经完成了流程A的操作,下面进入流程B。
B. 下载证书压缩包到电脑并解压
- 现在我们回到腾讯云的“证书管理”界面,点击“下载”,下载证书到本地电脑。
- 下载完成后,打开文件所在的文件夹,我们可以看到一个压缩包文件(.zip),文件名就是我们申请SSL证书时填写的域名,现在将此压缩包解压,可以看到四个文件夹(如下图),记住这个“Nginx”,我们给群晖NAS导入的证书和私钥就在这个文件夹里。
建议把压缩包就地解压,或者解压到桌面,方便我们在后面导入证书和私钥的时候,能快速地找到我们需要上传的文件。
C. 在群晖DSM的Web界面上安装SSL证书
- 现在我们在Web上登录DSM,打开“控制面板”,选择“安全性”,点击“证书”,“新增”。
- 弹出“创建证书”窗口,选择“添加新证书”,点击“下一步”。
- 描述可以随便填,我这里填“Nginx”,选择“导入证书”,勾选“设为默认证书”,点击下一步。
- 来到“导入证书文件”界面,我们只用导入“私钥”,“证书”这两项,无视“中间证书”。
- 点击“浏览”,找到刚才下载的证书压缩包解压后的文件夹目录。打开图19提到的那个“Nginx”文件夹,其中,证书文件名为“1_你的域名_bundle.crt”,私钥文件名为“2_你的域名.key”,选中后,点击“打开“,就导入到群晖NAS中了。注意,导入要分两次进行,一次只能导入证书或私钥。
- 把证书和密钥都导入到群晖NAS上后,点击“确定”。
- 现在跳回“控制面板”的”证书“界面,可以看到我们的证书已经成功添加,且被设置为“默认证书”(这里的“Nginx”是我刚才填写的证书“描述”,你填什么描述这里显示什么)。
接下来点击“配置”(这是最容易被忽视的一步,很多人就差这临门一脚)。
- 弹出“配置”界面后,把所有“服务”对应的“证书”由“synology.com”全部换成你新申请的SSL证书,最后点击“确定”。
D. 测试是否成功实现https访问
现在我们把视线移至屏幕左上角,在域名旁边我们可以查看网站信息,具体如下图所示。
以Chrome浏览器为例,当我们使用http访问时(默认端口5000),这里显示的是一个感叹号图标,提示“连接不安全”;但当我们成功导入SSL证书后用https访问时(默认端口5001),这里显示的是一把小锁,提示“连接安全”。注意,当我们使用https访问时,一定要在域名前输入“https://”,以及在域名后输入端口号“:5001”,例如“https://home.mynas.com:5001”。
如果你查看的情况是前者,那就说明你在之前的步骤上还有些问题,不妨回头再检查一下。
如果你查看的情况是后者,那就说明你已成功在群晖NAS上用自己的域名实现https访问。
恭喜!
本教程到此结束,希望对各位有所帮助。