您将了解如何在建立安全连接之前,通过管理证书(让用户验证您的 Synology Router 身份)以提高网络安全。证书可用于确保 Synology Router 的 SSL 服务,如网页(所有的 HTTPS 服务)或 FTP。例如,通过 HTTPS 登录时,浏览器将验证您的 Synology Router 证书。如果没有认证机构颁发的证书,您的浏览器将警告您该站点的安全证书不可信。通过使用信任的证书,有助于防止恶意第三方危及您的连接。

证书选项卡(控制面板 > 服务 > 证书)包含管理和查看 Synology Router 证书状态的选项,可让您创建、导入、导出和续订证书。证书设置向导能够帮助您创建自我签署证书和证书签发请求 (CSR) 以便向认证机构 (CA) 注册。

1.关于自我签署证书

自我签署证书是自己证实身份的同一实体创建和签署的证书(在此情况下,为您的 Synology Router)。自我签署证书使用 Synology Router 生成的私钥签署。因为自我签署证书不是由第三方认证机构颁发,它们提供证明力较低的主机设备身份,且一般仅用于保护主机设备和一组已知用户之间的通道。如果管理员了解并信任所连接的所有用户,则自我签署证书可用于保护与 Synology Router 的连接。

若要创建自我签署证书:

  1. 请单击创建证书
  2. 选择创建自我签署证书并单击下一步
  3. 请按照证书向导指示来操作。

注:

创建自我签署证书将替换已有的 Synology Router 证书。

然后,您的自我签署证书可与签署的证书请求一起导入,以建立与 Synology Router 的安全连接。请参阅下一章以了解更多有关创建证书签发请求的信息。

可下载已有的证书以用于管理或归档。导出的文件含有 Synology Router 的证书、私钥和自我签署根证书。

若要导出证书:

  1. 单击导出证书。然后您可下载压缩档案到您的计算机。请保存私钥以保护 Synology Router 的安全和机密性。

2.获得第三方授权证书

要申请第三方认证机构颁布的证书,必须先创建证书签发请求 (CSR)。您可使用证书向导准备证书签发请求,其中包含域名、组织名称、一般位置和电子邮件地址等信息。然后可使用该请求申请第三方为 Synology Router 颁发的证书。

要从商业或第三方认证机构获取证书,您需提供个人或组织的身份验证,并证明您是证书签发请求通用名称栏中输入的域名的所有者。如果您的 Synology Router 将被未知用户访问,建议使用第三方认证机构颁布的证书。

若要创建证书签发请求:

  1. 请单击创建证书
  2. 选择创建证书签发请求 (CSR) 并单击下一步
  3. 按证书向导的说明创建和下载证书签发请求。下载的文件 archive.zip 应包括两个文件,即 server.csrserver.key。您可以使用 server.csr 文件从向第三方认证机构申请签署的证书。认证机构不需要私钥 server.key。请保存私钥以保护 Synology Router 的安全和机密性。

认证机构颁发证书后,证书可随私钥导入。这两个信息将共同用于建立与 Synology Router 的安全连接。

若要导入证书:

  1. 请单击导入证书
  2. 浏览以下文件:

    • 私钥:选择您从证书签发请求生成的 server.key 文件。
    • 证书:选择您从认证机构收到的签署证书。文件名应类似于 server.crtyourdomainname.cert
    • 中间证书:此为可选填项目。如果认证机构提供了中间证书,请在此导入。
  3. 单击确定完成。您可在服务器证书下查看详细摘要。

注:

  • 证书必须为 X.509 PEM 格式。
  • 私钥必须为 RSA 格式且不可受密码短语保护。

或者,您也可使用 Synology Router 的根证书来签署证书签发请求。如果 Synology Router 仅在一组信任的用户之间共享,此证书可用来代替第三方认证机构颁发的证书。

若要签署证书签发请求:

  1. 请单击创建证书
  2. 请单击签署证书签发请求 (CSR)
  3. 上传证书签发请求并输入相关信息。
  4. 单击下一步,然后系统会签署证书请求并创建相应证书。

之后,您可将此证书与创建自我签署证书时生成的私钥一起导入。证书在其到期日期前有效。当您的证书即将到期时,可以进行续订。

若要从 Let's Encrypt 获取证书:

您可从信誉良好的公共认证机构 Let's Encrypt 自动获得免费又安全的 SSL/TLS 证书。

  1. 请单击创建证书
  2. 选择从 Let's Encrypt 获取证书
  3. 指定以下信息:

    • 域名:输入您向域供应商注册的域。
    • 电子邮件:输入用于证书注册的电子邮件地址。
    • 主体备用名称:若要让一个证书涵盖多个域,请在此输入其他域名。还可以通过采用以下格式输入 Synology DDNS 的域名来申请通配符证书:*.SYNOLOGY_DDNS_DOMAIN_NAME
  4. 单击应用以保存设置,一旦确认,证书便会立即导入到 Synology Router 中。

注:

  • 您只能用有限数量的电子邮件帐户从 Let's Encrypt 注册证书。如果超出限制,请使用之前注册的电子邮件帐户来获取更多的证书。
  • 您只能从 Let's Encrypt 的每个域注册有限数量的证书。如果超出限制,请执行以下任一操作:
  • 输入当前域名作为主体备用名称 (SAN),并用其他域名申请证书。
  • 输入 *.SYNOLOGY_DDNS_DOMAIN_NAME 作为 SAN 以申请通配符证书。

Let's Encrypt 将在为您的域颁发证书之前执行域验证。请确认 Synology Router 已打开端口 80,以用于从 Internet 进行域验证。与 Let's Encrypt 的所有其他通信将通过 HTTPS 进行,并保护 Synology Router 的安全。
Let's Encrypt 颁发的证书在 90 天内有效。证书到期之前,SRM 将在域验证成功后自动续订这些证书。
请确认 Synology Router 已打开端口 80,以用于证书续订。
仅对 Synology DDNS 支持通配符证书。

若要续订证书:

  1. 请单击创建证书
  2. 选择续订证书并单击下一步。将创建新的私钥和证书签发请求。
  3. 单击下载可检索您的新私钥和证书签发请求。您可使用新的签发请求以重新申请其他认证机构签署的证书。


最后修改:2021 年 02 月 22 日
如果觉得我的文章对你有用,请随意赞赏