網路儲存裝置 - [分享] Synology NAS SSL 憑證製作 - 電腦

前往內容


[分享] Synology NAS SSL 憑證製作

derliang 兄在某篇文章提到(click here), 希望在使用 https 登入 Synology DSM NAS 時, 不要看到諸如下列的畫面.



其實以前小弟也沒有去注意它, 反正再按 continue 就好了, 但長官既然說不想再看到, 那就想辦法吧!

先申請小弟並非此部份的專家, 所以如果有錯誤的地方, 歡迎提出指正. 有網友建議去 www.startssl.com 申請憑證, 主要是該網站提供免費的 service, 請網友至該網站先 Sign-Up 一個帳號.

1.至 http://www.startssl.com sign-up 一個帳號, 填寫一些個人資料, 及 email address 等, 印象中必須以 ie or safari 填寫, google chrome 好像不支援. sign-up 的過程有點繁鎖, 但不外乎就是去 check email, 取得 verfify code, 然後回到 startssl.com 驗證, 此部份就不再詳述.

2.如果 sign-up 完成, 它會在你的 browser 安裝一憑證, 此時即可進入 startssl control panel, 選擇 [Certificates Wizard] > [Web Server SSL/TLS Certificate], 我們現在就要幫自己的網站申請憑證, 首先是建立 private key, 將系統產生的 private key 複製下來, 另存為 ssl.key text file.

3.再來是為網站申請憑證, 填入 domain name, 例如 abc.com.tw, 注意這裡的 domain name 並不能是 sub domain name, 表示並不能申請諸如 xyz.no-ip.org 或 xyz.dyndns.org 此類的 DDNS sub domain name, 網友必須真正擁有一個 domain name, 一般公司應無問題, 但如果是個人, 那麼可以考慮去註冊一個 idv.com.tw domain name, 同樣的系統會產生憑證檔, 請另存為 ssl.crt file.

如果順利的話, 到此已完成憑證申請的所有檔案.

回到 DSM > 控制台 > 網頁服務 > HTTP 服務 > 匯入憑證. 填入前面所產生的 ssl.key & ssl.crt 檔案.


結果系統回覆憑證不符, why? 小弟也不曉得原因, 不過剛才在產生 private key 時有設定一組密碼, 但此處系統沒有詢問, 小弟猜想是不是在那裡要輸入 password? 後來我回到 startssl.com, 在 toolbox 有一 Decrypt Private Key, 將剛才產生的 ssl.key 解密另存新檔, 用這組解密過 private key file 就 ok 啦!


下次再登入 https://www.xyz.com.tw:5001, 就不會再出現警告畫面了. 在 browser 檢視也出現此網站經過驗證.


前面這些都是土砲的做法, 沒有什麼理論, 跟著做就可以正常 work. 至於要更深入去研究其細節, 可能要去上 Netman 的課才行.
哈哈,謝謝p大的分享。
會想要把憑證用好是希望不要嚇到使用者啦,否則常常有同事與家人問。
怎麼一連到網路硬碟就出現危險的警告訊息!

小弟之前實作過startssl,但就是卡在Domain name的驗證上。
如果沒有自己的Domain的話,這關過不了,而dyndns.org是在它的blacklist上。
現在我正在摸索openssl,但自己做出來的憑證一直被DSM說是不合法的憑證。
我已經先將根憑證匯入到windows中了,現在不知道是卡在哪裡。
還希望可以有高手指點一下,如何用openssl來製作個人的憑證。
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!

derliang wrote:
而dyndns.org是在它的blacklist上...(恕刪)


小弟不確定 startssl 是否有 blocklist, 但 sub domain 在 startssl.com 就無法申請憑證了.

pctine wrote:
小弟不確定 startssl 是否有 blocklist, 但 sub domain 在 startssl.com 就無法申請憑證了.


黑名單還不少哩,所以個人用的SSl可能要另外想辦法。



irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
小弟回報一下p大,經過一番摸索,小弟終於成功的完成了自製的憑證。
請看成果。



我是用視窗下的程式:openSSL來產生自己的憑證。
優點是不用花一毛錢,但缺點是這個憑證並不是由公信單位產生的,所以一般的電腦不認識它。
它的原理是必須先產生一個"根憑證",然後手動安裝到電腦去,告訴電腦這是可信賴的憑證發行單位。
然後再利用者個根憑證去產生NAS用的憑證與key,再匯入到NAS中。
辛苦了這麼久,就只是為了用https連到NAS時,可以少按一個確定。
如果大家有興趣的話,我再找台電腦寫個教學文。
不然大家看四月號的電腦王也有詳細的圖文教學。
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
如果self sign, 用原本NAS原生那張cert不就可以嗎?
******************************** 我在01快十年

carpisam wrote:
如果 self sign, 用原本 NAS 原生那張 cert 不就可以嗎?


NAS原生的憑證不是公認有公信力的憑證機構所發行,因此會被視為來路不明的憑證。
利用https登入時就會出現警告訊息,當然這還是可以用,但有時會造成使用者的疑慮。
所以如果是一般公司而且是想省錢的公司,可以自己產生憑證發行機構的憑證,匯入OS中。
這樣以後自己產生出來的憑證就會被視為可信的...

話說回來,Synology的NAS中有原生的憑證呀?我還以為只有我那台Qnap裡有。
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
xxx.myDS.me can't apply......

derliang wrote:
NAS原生的憑證不是...(恕刪)


有的
******************************** 我在01快十年
請問如果我沒有網域名稱,但又不想付費去申請網域,那有什麼方式可以申請憑證嗎~~~
不然要使用https~無法用file station看影片,謝謝

1頁 (共2頁)

前往