您将了解如何在建立安全连接之前,通过管理证书(让用户验证您的 Synology Router 身份)以提高网络安全。证书可用于确保 Synology Router 的 SSL 服务,如网页(所有的 HTTPS 服务)或 FTP。例如,通过 HTTPS 登录时,浏览器将验证您的 Synology Router 证书。如果没有认证机构颁发的证书,您的浏览器将警告您该站点的安全证书不可信。通过使用信任的证书,有助于防止恶意第三方危及您的连接。
证书选项卡(控制面板 > 服务 > 证书)包含管理和查看 Synology Router 证书状态的选项,可让您创建、导入、导出和续订证书。证书设置向导能够帮助您创建自我签署证书和证书签发请求 (CSR) 以便向认证机构 (CA) 注册。
1.关于自我签署证书
自我签署证书是自己证实身份的同一实体创建和签署的证书(在此情况下,为您的 Synology Router)。自我签署证书使用 Synology Router 生成的私钥签署。因为自我签署证书不是由第三方认证机构颁发,它们提供证明力较低的主机设备身份,且一般仅用于保护主机设备和一组已知用户之间的通道。如果管理员了解并信任所连接的所有用户,则自我签署证书可用于保护与 Synology Router 的连接。
若要创建自我签署证书:
- 请单击创建证书。
- 选择创建自我签署证书并单击下一步。
- 请按照证书向导指示来操作。
注:
创建自我签署证书将替换已有的 Synology Router 证书。
然后,您的自我签署证书可与签署的证书请求一起导入,以建立与 Synology Router 的安全连接。请参阅下一章以了解更多有关创建证书签发请求的信息。
可下载已有的证书以用于管理或归档。导出的文件含有 Synology Router 的证书、私钥和自我签署根证书。
若要导出证书:
- 单击导出证书。然后您可下载压缩档案到您的计算机。请保存私钥以保护 Synology Router 的安全和机密性。
2.获得第三方授权证书
要申请第三方认证机构颁布的证书,必须先创建证书签发请求 (CSR)。您可使用证书向导准备证书签发请求,其中包含域名、组织名称、一般位置和电子邮件地址等信息。然后可使用该请求申请第三方为 Synology Router 颁发的证书。
要从商业或第三方认证机构获取证书,您需提供个人或组织的身份验证,并证明您是证书签发请求通用名称栏中输入的域名的所有者。如果您的 Synology Router 将被未知用户访问,建议使用第三方认证机构颁布的证书。
若要创建证书签发请求:
- 请单击创建证书。
- 选择创建证书签发请求 (CSR) 并单击下一步。
- 按证书向导的说明创建和下载证书签发请求。下载的文件 archive.zip 应包括两个文件,即 server.csr 和 server.key。您可以使用 server.csr 文件从向第三方认证机构申请签署的证书。认证机构不需要私钥 server.key。请保存私钥以保护 Synology Router 的安全和机密性。
认证机构颁发证书后,证书可随私钥导入。这两个信息将共同用于建立与 Synology Router 的安全连接。
若要导入证书:
- 请单击导入证书。
浏览以下文件:
- 私钥:选择您从证书签发请求生成的 server.key 文件。
- 证书:选择您从认证机构收到的签署证书。文件名应类似于 server.crt 或 yourdomainname.cert。
- 中间证书:此为可选填项目。如果认证机构提供了中间证书,请在此导入。
- 单击确定完成。您可在服务器证书下查看详细摘要。
注:
- 证书必须为 X.509 PEM 格式。
- 私钥必须为 RSA 格式且不可受密码短语保护。
或者,您也可使用 Synology Router 的根证书来签署证书签发请求。如果 Synology Router 仅在一组信任的用户之间共享,此证书可用来代替第三方认证机构颁发的证书。
若要签署证书签发请求:
- 请单击创建证书。
- 请单击签署证书签发请求 (CSR)。
- 上传证书签发请求并输入相关信息。
- 单击下一步,然后系统会签署证书请求并创建相应证书。
之后,您可将此证书与创建自我签署证书时生成的私钥一起导入。证书在其到期日期前有效。当您的证书即将到期时,可以进行续订。
若要从 Let's Encrypt 获取证书:
您可从信誉良好的公共认证机构 Let's Encrypt 自动获得免费又安全的 SSL/TLS 证书。
- 请单击创建证书。
- 选择从 Let's Encrypt 获取证书。
指定以下信息:
- 域名:输入您向域供应商注册的域。
- 电子邮件:输入用于证书注册的电子邮件地址。
- 主体备用名称:若要让一个证书涵盖多个域,请在此输入其他域名。还可以通过采用以下格式输入 Synology DDNS 的域名来申请通配符证书:
*.SYNOLOGY_DDNS_DOMAIN_NAME
- 单击应用以保存设置,一旦确认,证书便会立即导入到 Synology Router 中。
注:
- 您只能用有限数量的电子邮件帐户从 Let's Encrypt 注册证书。如果超出限制,请使用之前注册的电子邮件帐户来获取更多的证书。
- 您只能从 Let's Encrypt 的每个域注册有限数量的证书。如果超出限制,请执行以下任一操作:
- 输入当前域名作为主体备用名称 (SAN),并用其他域名申请证书。
- 输入
*.SYNOLOGY_DDNS_DOMAIN_NAME
作为 SAN 以申请通配符证书。
Let's Encrypt 颁发的证书在 90 天内有效。证书到期之前,SRM 将在域验证成功后自动续订这些证书。
请确认 Synology Router 已打开端口 80,以用于证书续订。
仅对 Synology DDNS 支持通配符证书。
若要续订证书:
- 请单击创建证书。
- 选择续订证书并单击下一步。将创建新的私钥和证书签发请求。
- 单击下载可检索您的新私钥和证书签发请求。您可使用新的签发请求以重新申请其他认证机构签署的证书。