本文的目的是描述在 Synology NAS 服务器上安装 SSL 的过程并指出可能出现的问题。
Synology NAS 服务器用户的先决条件
- 首先,为了获得受信任的证书,您需要拥有可以分配给 Synology DDNS 服务的域名*,因为我们网站上提供的 SSL 证书只能为完全合格域名(FQDN)签发。
* 该 DDNS 服务对 Synology 用户免费提供 这里。
- 在进入下一步之前,请设置您的 DDNS 服务;
- 然后,应添加一个从您的域名或子域名(yourdomain.com)到 DDNS 服务(如 name.synology.me)的 CNAME DNS 转发器。
以下是快速指南:
登录到您的 cPanel,找到 'Domains' 方框并单击 Advanced DNS Zone Editor。
在 'Add a Record' 下,填写每个框以输入您的信息。 'Name' 字段应有域名,而 'CNAME' 字段应有 Synology NAS 主机名。然后单击 'Add Record'。
- 请确保端口转发已在您的路由器上配置。
SSL 安装
注意: 本说明适用于 DSM5.0 及更高版本。只有 2009 年及之前的型号无法更新到最新的 DSM,因此建议过去 5 年内的型号升级到最新的 DSM。
CSR 代码生成
在您的 Synology NAS 上安装 SSL 证书之前,您需要生成证书签名请求(CSR 代码)并启用证书。
将 SSL 证书导入 Synology:
一旦证书发放,您将收到来自证书授权机构的电子邮件,内含 SSL 文件。现在,您可以按照以下步骤将受信任的证书导入到 Synology 服务器中。
- 返回 Synology,导航至控制面板 > 安全性 > 证书,然后单击 '导入证书'
- 浏览并为每个字段导入以下文件:
(在本指南中,我们以 PositiveSSL 证书为例,对于其他签发机构的不同 SSL 类型,安装步骤相同)。
私钥 - Server.key
证书 - domain_com.crt(在电子邮件中的 CA .zip 文件中收到)
中间证书 - 来自履行电子邮件的 CA Bundle 文件,PositiveSSLBundle 包含:
COMODO RSA Domain Validation Secure Server CA
COMODO RSA Certification Authority
AddTrust External CA Root然后单击 '下一步'。
注意: 请使用解密的私钥文件,如果您使用加密的文件,过程中可能会出现问题。推测这些问题可能出现在过时版本的 Synology 服务器,因此 Synology 强烈建议使用最新版本。在撰写本文时,最新版本为 DiskStation Manager 5.1(DSM 5.1)。
'无效的密码类型' 错误
在安装过程中还可能出现几个问题,其中之一是 '无效的密码类型' 错误。
如果私钥文件的标头不包含
(显示为 -----BEGIN PRIVATE KEY 和 -----END PRIVATE KEY-----,而不是 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY-----); 解决方案: 在文本编辑器中修改该文件。
'非法证书' 错误
在导入证书时,可能会出现 '非法证书' 错误。此问题可能有几个原因:
- 通常 如果 .zip 压缩文件在未解压的情况下在文本编辑器中打开,并且在 -----BEGIN CERTIFICATE----- 标头之前留下了文本,它就会弹出;解决方案: 解压缩该档案并独立使用文本编辑器打开每个证书文件。
- Synology 网络服务器将重新启动,这只需几秒钟。然后控制面板的 '证书' 页面应如下所示:
一旦证书安装完成,所有应该都很清楚。然而,请确保您为该域创建了 CNAME 记录,而不仅仅是从 name.synology.me 到的 URL 转发,这样证书的公共名称不会与 URL 中的域名匹配。否则,如果您尝试通过 https:// 连接到您的 Synology,您可能会在浏览器中收到 '常见名称不匹配' 错误。
解决方案: 为该域创建 CNAME 记录。
现在当证书安装完成后,只需尝试使用您的域名/子域名(例如: https://yourdomain.com )访问您的 NAS - 这样的话,地址栏中的锁定图标证明该连接现已由受信任的 SSL 保护。