Chiphell - 分享与交流用户体验

 找回密码
 加入我们
搜索
      
查看: 48126|回复: 52

[NAS] 申请免费的SSL证书以更加安全的方式在外网访问我们的NAS

  [复制链接]
发表于 2015-6-12 19:39 | 显示全部楼层 |阅读模式
本帖最后由 痞子马甲1 于 2015-6-12 19:39 编辑

      

最近折腾NAS上瘾了,各种折腾.发现很多好玩的东西.今天先跟大家分享一下用https加密的方式从外网来访问NAS,并且不会出现证书不受信任的提示.



(本文只是一个菜鸟跟大家分享折腾乐趣.关于各种技术细节如果有错误的地方,欢迎各位大神老鸟指出.如果你已经知道这个方法了,权当看看就好.第一次发这种类似于教程的帖子,多多包涵)


我们都知道,synology为其NAS提供了更加安全的访问协议.那就是htttps.但是要使用https加密协议就必须要SSL证书才可以,不然就会出现证书错误.像下图这样.


                                                                              证书错误.png  
虽然不影响使(点继续浏览此网站,还是可以访问的)但是强迫症受不了有木有啊.不折腾不舒服斯基有木有

      果断跑去找度娘,一翻爬文,发现个人也可以免费申请SSL证书,并且是免费的,还是中文站点沃通.




第一、沃通官方网站注册账户

沃通注册.png


                                                                                    

新注册WoSign沃通个人账户,然后到邮箱中激活。完毕之后,我们就可以登录WoSign沃通账户后台。

第二、申请开通免费WoSign沃通证书

用户中心1.png

在用户中心找到购买证书,点购买证书

用户中心2.png

找到这个免费SSL,立即申请.

域名1.png
第二步需要注意一下验证文件.
验证文件.png
下载这个文件以后,把这个文件放在群晖的WWW文件夹下去.群晖需要开启Web Station和个人网站.验证完毕以后不想使用这两个功能的可以关闭.(如下图)
群晖1.png

群晖2.png

完成所有的步骤以后,点击提交申请.审核速度很快,十分钟左右就能收到证书了.
这里要特别注意一下那个证书保护密码,千万不要搞错了.后面取回证书和加密证书的压缩文件用的,非常重要.
取走1.png
审核通过以后大概就是这样子了,按照提示取走证书即可,是一个RAR的加密压缩文件,需要用到之前申请的时候那个证书保护密码解压.
证书1.png

解压证书我们看到里面有5个压缩文件.我们使用第三个for Apache.zip这个.


证书2.png

解压后得到三个文件,第一个是中间证书,第二个是证书,第三个是私钥.

证书3.png

在这里一一对应导入证书

. 证书4.png

完成后就是这样了.

现在,我们再访问一下自己的动态域名地址看看,是不是已经不提示证书错误了

完成.png







PS:这样有个问题,就是局域网以IP地址访问的时候,还是会提示证书错误,不知道有没有哪位有办法解决的.现在小弟暂时都是用的动态域名访问的







 楼主| 发表于 2015-6-12 19:40 | 显示全部楼层
本帖最后由 痞子马甲1 于 2015-6-12 19:43 编辑

DSM开启HTTPS的方法,以及强制浏览器以https方式访问的设置.如下两图 https1.png

https2.png

发表于 2015-6-12 21:56 | 显示全部楼层
我 80端口已经被封。我试试443端口能不能使。
 楼主| 发表于 2015-6-12 22:10 | 显示全部楼层
tpweb 发表于 2015-6-12 21:56
我 80端口已经被封。我试试443端口能不能使。

https默认就是443
发表于 2015-6-12 23:21 | 显示全部楼层
这货证书已被Chrome xx,免费还是用startssl的吧。
发表于 2015-6-12 23:21 | 显示全部楼层
我的443公网可以访问,80不行,但是不知道为什么验证 html 文件的时候一直提示没有放到根目录。

另外你的问题。SSL 证书是和 domain 唯一绑定的,所以你内网也要用公网 domain 来访问才行,通过 ip 是不行的,肯定提示证书错误。
 楼主| 发表于 2015-6-13 00:45 | 显示全部楼层
飞雪尔 发表于 2015-6-12 23:21
我的443公网可以访问,80不行,但是不知道为什么验证 html 文件的时候一直提示没有放到根目录。

另外你的 ...

跟web相关的 每个下面放一个.这一步我也是搞了好多次才ok的,多试试
发表于 2015-6-13 02:36 | 显示全部楼层
我是自己建立的CA服务器,把根证书导入常用的电脑手机就行了,
发表于 2015-6-13 22:55 | 显示全部楼层
收藏学习了
发表于 2015-6-15 10:59 | 显示全部楼层
本帖最后由 lucifersun 于 2015-6-15 11:00 编辑

建议自建CA服务器,设备上导入根证书就行了。自己搭服务器,很多场合都要用到证书的,自己签更方便。
另外这家的证书在chrome上不受信
发表于 2015-6-15 11:05 | 显示全部楼层
沃通的免费服务器证书不受chrome信任。
沃通的EV服务器证书应该是受chrome信任。

区别很明显:钱!
 楼主| 发表于 2015-6-15 19:13 | 显示全部楼层
lucifersun 发表于 2015-6-15 10:59
建议自建CA服务器,设备上导入根证书就行了。自己搭服务器,很多场合都要用到证书的,自己签更方便。
另外 ...

用沃通免费的就是图个方便 呵呵
发表于 2015-6-17 17:35 | 显示全部楼层
luckissy 发表于 2015-6-12 23:21
这货证书已被Chrome xx,免费还是用startssl的吧。

估计留有后门给功夫网审查
发表于 2015-6-17 17:42 | 显示全部楼层
黑色会 发表于 2015-6-15 11:05
沃通的免费服务器证书不受chrome信任。
沃通的EV服务器证书应该是受chrome信任。

Google在Google Online Security上宣布Google旗下所有产品将全面吊销CNNIC根证书,中国互联网信息中心(CNNIC)认证的网站将不再被Google认为是安全的。

在3月份,由埃及中级CA MCS制作的假证书事件仍然在发酵,即Mozilla宣布旗下Firefox浏览器撤销中级CA MCS证书后,Google宣布旗下所有产品全面吊销CNNIC根证书(CNNIC Root)。

MCS在上个月伪造Google旗下产品如Gmail证书后进行劫持后,被Google发现,Google发现MCS的中级证书由中国的根CA机构CNNIC颁发。

尽管后来CNNIC宣称对MCS伪造Google旗下产品证书的事件不知情,但也显示了CNNIC对证书管理不善导致了这次事件。
Google表示,如果CNNIC实施技术手段及流程改进杜绝这类事件再次发生,可以重新申请加入。

现有CNNIC证书客户讲暂时以白名单形式继续支持一段时间作为过渡,也就是说,如果CNNIC不进行改进,而使用CNNIC颁发证书的网站、产品也没有更换其他CA机构颁发的证书,那么这些网站和产品将被Google封杀。

CNNIC对此事件已经发布声明,声明中称CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益、CNNIC将切实保障已有用户的使用不受影响。
发表于 2015-6-17 19:22 | 显示全部楼层
无名旅人 发表于 2015-6-17 17:42
Google在Google Online Security上宣布Google旗下所有产品将全面吊销CNNIC根证书,中国互联网信息中心(C ...

你不知道吧?
什么是EV服务器证书
发表于 2015-6-18 11:00 | 显示全部楼层
动态域名没比格,还是买个com吧
发表于 2015-6-18 11:02 | 显示全部楼层
局域网IP红很容易解决。重新弄个证书,IP地址填进域名列表里(wosign那个框可以填100个域名)
发表于 2015-6-18 13:20 | 显示全部楼层
国内的证书,没啥用。如果非要免费的,就startssl吧
ps:收费的证书也不过5刀一年。。。
发表于 2015-6-19 16:31 | 显示全部楼层
wosign免费的不能填IP地址的,我试过
另外80被ISP封,443可用,然后我已经配置完apache2,外网也能访问https://xxx.3322.org/3322.org.html,就是认证过不了,后来找朋友放在他的托管主机上,ddns指向他的服务器,算是过了

如果想IP和ddns域名都可用,可自己签,我把常用的路由(Openwrt)啊,Linux下载机啊,NAS的内网IP全加进去了,导入自己的CA,啥错误都没了

  1. 新建一个配置文件,server_key.cnf,内容如横线内
  2. -----------------------------------
  3. [req]
  4. distinguished_name = req_name
  5. req_extensions = v3_req

  6. [req_name]
  7. countryName = Country Name (2 letter code)
  8. countryName_default = CN
  9. stateOrProvinceName = State or Province Name (full name)
  10. stateOrProvinceName_default = FJ
  11. localityName = Locality Name (eg, city)
  12. localityName_default = FZ
  13. organizationalUnitName        = Organizational Unit Name (eg, section)
  14. organizationalUnitName_default        = Home
  15. commonName = Common Name (hostname, IP, or your name
  16. commonName_default = My Server Certificate
  17. commonName_max        = 64

  18. [v3_req]
  19. # Extensions to add to a certificate request
  20. basicConstraints = CA:FALSE
  21. keyUsage = nonRepudiation, digitalSignature, keyEncipherment
  22. subjectAltName = @alt_names

  23. [alt_names]
  24. DNS.1 = xxxx.3322.org
  25. DNS.2 = xxxx.vicp.net
  26. IP.1 = 192.168.1.1
  27. IP.2 = 192.168.1.2
  28. IP.3 = 192.168.1.3
  29. IP.4 = 192.168.1.130
  30. IP.5 = 127.0.0.1

  31. -----------------------------------

  32. 在命令行执行:
  33. openssl genrsa -des3 -out ca.key 2048
  34. openssl req -new -key ca.key -out ca.csr
  35. openssl x509 -days 3650 -sha256 -signkey ca.key -in ca.csr -req -out ca.crt

  36. openssl genrsa -out server.key 2048
  37. openssl req -new -sha256 -out server.csr -key server.key -config server_key.cnf
  38. openssl req -text -noout -in server.csr
  39. openssl x509 -req -days 3650 -sha256 -CA ca.crt -CAkey ca.key -set_serial 01 -in server.csr -out server.crt \
  40. -extensions v3_req -extfile server_key.cnf

  41. cat server.key server.crt > server.pem  //生成Apache PEM格式
复制代码


 楼主| 发表于 2015-6-19 17:49 | 显示全部楼层
Cye3s 发表于 2015-6-19 16:31
wosign免费的不能填IP地址的,我试过
另外80被ISP封,443可用,然后我已经配置完apache2,外网也能访问http ...

大神,自己CA怎么搞.
发表于 2015-6-19 17:52 | 显示全部楼层
上面生成的ca.crt就是ca证书,导到电脑或手机里就行了
 楼主| 发表于 2015-6-19 18:13 | 显示全部楼层
Cye3s 发表于 2015-6-19 17:52
上面生成的ca.crt就是ca证书,导到电脑或手机里就行了

直接在windows环境下可以?
发表于 2015-6-19 20:13 | 显示全部楼层
我是在Linux下用openssl命令做的,windows下的没试过,应该差不多吧
https://www.openssl.org/related/binaries.html
 楼主| 发表于 2015-6-19 20:25 | 显示全部楼层
Cye3s 发表于 2015-6-19 20:13
我是在Linux下用openssl命令做的,windows下的没试过,应该差不多吧
https://www.openssl.org/related/bina ...

回头试试看
发表于 2015-6-20 13:24 | 显示全部楼层
luckissy 发表于 2015-6-12 23:21
这货证书已被Chrome xx,免费还是用startssl的吧。

wosign的证书通过startssl的交叉证书可以被信任。
发表于 2015-6-20 13:27 | 显示全部楼层
黑色会 发表于 2015-6-15 11:05
沃通的免费服务器证书不受chrome信任。
沃通的EV服务器证书应该是受chrome信任。

wosign的证书通过startssl的交叉证书可以被信任。
我刚看了下自己的网站,以前签的证书没问题啊,Wosign自家的根
发表于 2015-6-20 13:28 | 显示全部楼层
无名旅人 发表于 2015-6-17 17:42
Google在Google Online Security上宣布Google旗下所有产品将全面吊销CNNIC根证书,中国互联网信息中心(C ...

CNNIC证书和Wosign证书有毛关系?

还留后门呢,建议先去学习一下证书体系的基本知识
发表于 2015-11-6 23:03 | 显示全部楼层
我从godaddy申请了.com域,然后在startssl申请了证书,把证书、私匙导入群晖后,chrome和IE还是不认,导入iphone显示尚未验证。
这个要怎么弄?
发表于 2016-1-7 22:50 | 显示全部楼层
我也是自建 pki.

不过我是windows做的,在家里有整套 ad.

不光web server

连 rdp 3389
sql server 1433
smtps 25 587
pop3s
imaps
*** (l2pt sstp ikev2)
wifi radius 认证

都靠证书保护。
其实用的最多的 也就是 rdp3389 到公司第一件事情就是连回家里。

所有的web,用一个iis的 arr 反响代理就够了,家庭环境(不是群租)可以不用每台web server都用ssl。因为外部到反向代理服务器加密了。反向代理和web server的通信是局域网。

如果要防局域网内的用户,那么所有的通信都要加密。
发表于 2016-1-9 22:49 | 显示全部楼层
QuaintJade 发表于 2015-6-20 13:27
wosign的证书通过startssl的交叉证书可以被信任。
我刚看了下自己的网站,以前签的证书没问题啊,Wosign ...

级别不一样

沃通的EV SSL证书是全球通行不会被封杀(verisigh签发的也是)

当然,很贵就是了。

您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

小黑屋|手机版|Archiver|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2021-9-18 06:33 , Processed in 0.013198 second(s), 10 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

© 2007-2021 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表