广州和世鑫Synology群晖企业方案

总览

在某些情况下，HTTPS（安全超文本传输协议）可用于加密和保护 Synology NAS 与其他设备之间的网络通信，防止窃听或中间人攻击。若要确保网络通信，可使用 Synology NAS 来创建自我签署证书和证书签发请求 (CSR)。

本文将介绍如何启用 Synology NAS 上的 HTTPS 以及创建证书签发请求的步骤。证书签发请求可用于获得第三方数字身份验证证书。

目录

1. 开始之前的准备
2. 为何要使用 HTTPS？
3. 启用 HTTPS
4. 创建证书
   • 4.1 使用 DSM 的内置 Let's Encrypt 服务添加证书
   • 4.2. 创建证书签发请求并导入签发的证书

1.开始之前的准备

本文假设您已完成以下准备工作：

• 设置 Synology NAS
• 安装 Synology DiskStation Manager（DSM，网页界面的 Synology NAS 操作系统）

请参阅 Synology NAS 随附的快速安装指南以了解更多有关硬盘及软件安装的信息。您也可参阅 Synology NAS 用户指南（可在 Synology 的下载中心获得）来了解相关信息。

注：

• 若要从认证机构获取签发的证书，您需要已注册的域名，如“example.com”。

为何要使用 HTTPS？

许多组织和服务商（如银行、政府机构、电子邮件服务商）在通过 Internet 或其他网络传输敏感数据（如密码、信用卡信息）时会执行 HTTPS 和数字身份证书功能以确保敏感数据得到加密且安全。HTTPS 在组织的服务器与用户计算机之间传输数据时对数据进行加密，确保恶意第三方无法拦截和查看传输的数据。证书可验证组织实体服务器的身份，让用户的计算机判断该服务器是否属于该组织。

如果网站通过 HTTPS 加密并有可信的证书，则在大多数浏览器中，通常会在其 URL 左侧显示一个锁。

启用 HTTPS

1. 请使用属于 administrators 群组的帐户登录 DSM。
2. 请进入控制面板 > 网络 > DSM 设置。
3. 勾选自动将 HTTP 连接重新导向到 HTTPS（Web Station 和 Photo Station 除外）复选框，然后单击应用。
   
4. 稍待片刻，让 Synology NAS 重启网络设置。
5. 设置应用后，您就能通过 HTTPS 连接 DSM。打开浏览器，然后输入 https://您的域名:5001。“您的域名”是用于访问 Synology NAS 的服务器名称或注册域名。
   

注：

• 必须输入端口访问号才能通过 HTTPS 连接。HTTPS 的默认端口号为 5001。如果您已启用了自动重新导向到 HTTPS 的选项，则无需输入端口号，因为它会自动重新导向。

4.创建证书

4.1 使用 DSM 的内置 Let's Encrypt 服务添加证书

若要为 Synology NAS 添加证书，可以采用 DSM 的内置服务 Let's Encrypt。下面提供了两种情况以及相应的分步说明，可以按照这些说明添加 Let's Encrypt 证书。

情况 1：如果通过 Synology DDNS 服务为 NAS 设置主机名，则也可在主机名设置过程中完成 Let's Encrypt 证书的注册。进入控制面板 > 外部访问 > DDNS 以添加 DDNS 主机名

完成配置后，可以通过“https://您的主机名.synology.me:5001”安全连接到 Synology NAS。

情况 2：如果已从第三方域供应商处购买域名，或者已在主机名设置过程中设置 Synology DDNS 主机名但未注册 Let's Encrypt 证书，请按照以下步骤注册 Let's Encrypt 证书：

1. 请进入控制面板 > 安全性 > 证书。
2. 单击添加。
   
3. 选择添加新证书，然后单击下一步。
   
4. 选择从 Let's Encrypt 获取证书并单击下一步。
   
5. 请输入以下信息：
   • 域名：输入您向域供应商注册的域。
   • 电子邮件：输入用于证书注册的电子邮件地址。证书即将到期时，会向此电子邮件地址发送通知。
   • 主体备用名称：若要让一个证书涵盖多个域，请在此输入其他域名。例如，如果输入的域名为“example.com”，并且希望与 NAS 设备的另一个域“mail.example.com”共享同一个证书，请在主体备用名称栏中输入“mail.example.com”。
     注：在域名和主体备用名称栏中输入的域应具有相同的外部 IP 地址。
6. 单击应用以保存设置。证书会按照以上配置立即导入 Synology NAS。
   

注：

• 您只能用有限数量的电子邮件帐户从 Let's Encrypt 注册证书。如果超出限制，请使用之前注册的电子邮件帐户来获取更多的证书。
• 您只能从 Let's Encrypt 的每个域注册有限数量的证书。如果超出限制，请输入当前域名作为主体备用名称 (SAN)，并用其他域名申请证书。
• Let's Encrypt 将在为您的域颁发证书之前执行域验证。若要续订证书，请确保在 Synology NAS 和路由器上都已打开端口 80。与 Let's Encrypt 进行的所有其他通信都通过 HTTPS 进行，可确保 Synology NAS 安全。
• Let’s Encrypt 颁发的证书在 90 天内有效。在证书即将到期之前，如果域验证成功，DSM 将自动续订证书。若要续订证书，请确保在 Synology NAS 和路由器上都已打开端口 80。

4.2. 创建证书签发请求并导入签发的证书

通过 HTTPS 连接到 Synology NAS 后，您可能会看到一则类似以下的警告信息。由于网页浏览器需要第三方证书来验证 Synology NAS 的身份，但浏览器并不信任 Synology NAS 所使用的默认证书，才会出现此警告信息。

注：

• 上述警告屏幕由 Google Chrome 生成。

只要把要连接的域名添加到安全例外状况，便可避免此警告信息，让您正常访问 DSM。但是，要验证 Synology NAS 的身份并确保连接真正安全，您需要从信任的认证机构取得第三方证书。

若要为 Synology NAS 取得第三方证书，请确认您已注册了域名。您还必须支付认证机构要求的任何费用。

若要创建证书签发请求 (CSR)：

1. 在您申请证书时，某些认证机构可能需要证书签发请求 (CSR)。如果出现这种情况，您即可轻松创建证书签发请求。请进入控制面板 > 安全性 > 证书。
2. 单击 CSR 按钮。
   
3. 选择创建证书签发请求。随后单击下一步。
   
4. 填写证书签发请求所需的信息。输入全部信息后，单击下一步。
   • 在通用名称栏内输入访问 Synology NAS 的域名。
   • 在电子邮件栏内输入域名的电子邮件地址。
   
5. 系统将创建证书签发请求。完成后单击下载。
   
6. 一个名为 archive.zip 的文件将会下载到您的计算机。其中应包含两个文件：server.csr 和 server.key。请将这两个文件保存在计算机上安全的地方。
   
7. 现在，您可以使用 server.csr 文件向第三方认证机构申请签发证书。所需的程序和费用取决于认证机构。要了解更多信息，请直接咨询相关认证机构。

若要将签发的证书导入 DSM：

1. 在成功取得认证机构签发的证书后，请进入控制面板 > 安全性 > 证书并单击添加。
   
2. 选择添加新证书。随后单击下一步。
   
3. 选择导入证书。随后单击下一步。
   
4. 单击浏览以导入以下文件：
   • 私钥：选择您之前保存在计算机中的 server.key 文件
   • 证书：选择您从认证机构收到的签发证书。文件名应类似于 yourdomainname.crt。
   • 中间证书：此为可选填项目。如果认证机构提供了中间凭证，请在此导入。
   
5. 单击确定，签发的证书将成功导入。

注：

• 记住，应将私钥和证书文件保存在安全的地方。在更新或更改服务器时可能需要这些文件。