我正在尝试在我的 Synology 上启用 SSL。问题是 Synology 位于路由器后面,可以使用端口转发进行公开访问。
假设我的公网 IP 是 94.94.94.94
我使用以下方式公开访问我的 Synologyhttps://94.94.94.94:5001 这可以正常工作,但浏览器上总是出现“不安全”警告。
当我尝试在 Synology 安全选项卡上从 Let's Encrypt 添加新证书时,它返回错误,因为我认为 Let's Encrypt 正在查看端口 80 上的 Synology,但那不是正确的端口。这是针对路由器 Web 管理的。
我能够在我之前拥有的一台 Synology NAS 上安装 Let'sEncrypt,但是代价是失去对路由器的网络管理访问权限。
关于如何对 synology 进行 ssl 以使其不会在浏览器上显示“不安全”错误,有什么建议吗?
答案1
您无法将 let's encrypt 证书分配给 IP 地址,尤其是因为大多数 ISP 都向其客户提供临时 IP。这意味着,您的 IP 地址每隔几天就会发生变化,或者至少每次重新连接时都会发生变化。您需要获取一个域名来分配证书,至少是一个免费的域名。
此外,您需要将端口 80 和 443 转发到您的 NAS 以进行 let's encrypt 验证。它当然不会查找端口 5001 来验证请求证书的系统是否确实属于该域名。至少对于验证过程(每次更新证书时都会重复),这些端口需要转发。
而且,正如评论中提到的,不建议将端口 5001 转发到您的 synology,因为这是 Web 管理界面,如果有人拥有正确的凭据或安全漏洞,则可以完全访问您的系统。因此,请使用 VPN 或仅将非特权服务暴露给全球互联网。在您的路由器中安装防火墙是有意义的。
当然,您始终可以使用自签名证书,尽管这不会为您提供相同程度的安全性。但您可以在浏览器中信任自签名证书一次,并且如果证书发生变化(例如,有人在窃听您),您将收到通知。