证书
证书可用于保护DiskStation的 SSL 服务,如网页(所有的 HTTPS 服务)、邮件或 FTP。证书可让用户在发送任何保密信息之前验证服务器和管理员的身份。
在控制面板 > 安全性 > 证书中,您可进行以下操作:
- 从 Let's Encrypt 获取证书。
- 创建自我签署证书。
- 创建证书签发请求给其他认证机构 (CA)。
- 签署来自其他申请人的证书签发请求
- 管理 DiskStation上的证书。
注:
- 从 DSM 6.0 开始,您可对 DiskStation创建和导入多个证书。
- 如果勾选设为默认证书,处理的证书将被用作默认证书。原始默认证书将失去其默认状态。
来自 Let's Encrypt 的证书
若要从 Let's Encrypt 获取证书:
您可从信誉良好的公共认证机构 Let's Encrypt 自动获得免费又安全的 SSL/TLS 证书。
- 单击添加。
- 选择添加新证书并单击下一步。
- 选择从 Let's Encrypt 获取证书。
- 请输入以下信息:
- 单击应用以保存设置。一经确认,证书将会立即导入到您的 DiskStation。
注:
- 可向 Let's Encrypt 注册证书的电子邮件帐户数量有限。如果超出限制,请使用之前注册的电子邮件帐户来获取更多的证书。
- 每个域可向 Let's Encrypt 注册的证书数量有限。如果超出限制,请执行以下任一操作:
- 输入当前域名作为主体备用名称 (SAN),并用其他域名申请证书。
- 输入
*.SYNOLOGY_DDNS_DOMAIN_NAME
作为 SAN 以申请通配符证书。
- Let's Encrypt 将在为您的域颁发证书之前执行域验证。请确认DiskStation和路由器已打开端口 80,以用于从网络进行域验证。与 Let's Encrypt 的所有其他通信将通过 HTTPS 进行,并保护 DiskStation的安全。
- Let's Encrypt 颁发的证书在 90 天内有效。证书到期之前,如果域验证成功,DSM 将会自动续订这些证书。请确认 DiskStation和路由器已打开端口 80,以用于证书续订。
- 仅对 Synology DDNS 支持通配符证书。
自我签署证书
自我签署证书是指身份经过证实的同一实体(在本例中是DiskStation)创建和签署的证书。自我签署证书使用DiskStation生成的私钥签署。因为自我签署证书不是由第三方认证机构颁发,他们提供的服务器身份证明力较低,且一般用于保护服务器和已知用户群组之间的通道。
若要创建自我签署证书:
- 单击添加。
- 选择添加新证书并单击下一步。
- 选择创建自我签署证书。
- 按照设置向导的指示进行操作。
证书签发请求 (CSR)
除从 Let's Encrypt 颁发的证书外,您还可从其他商业或第三方认证机构申请证书。若要获取证书,您可能需要执行以下操作:
- 创建证书签发请求 (CSR):由 DiskStation生成的加密正文,其中包含证书中所需的信息,如您的域名、组织名称、所在地和电子邮件地址。
- 向认证机构提供个人或组织的身份验证,并证明您是证书签发请求通用名称字段中输入的域名所有者。
若要创建证书签发请求:
- 单击 CSR。
- 选择创建证书签发请求 (CSR)。
- 按照设置向导的说明创建和下载证书签发请求。
- 将 CSR 和所需的信息发送给认证机构以进行确认。
当您收到由认证机构颁发的所请求证书后,可将其与私钥一起导入。
注:
私钥会连同证书签发请求一起生成。但认证机构并不需要此私钥。为了保护 DiskStation的安全,请妥善保存私钥。
若要签署证书签发请求:
其他设备的用户可发送证书签发请求以获得对您的DiskStation的认证访问权限。您可使用 DiskStation的根证书来签署证书签发请求,并将生成的证书发送给申请者。
- 单击 CSR。
- 请单击签署证书签发请求 (CSR)。
- 上传证书签发请求并输入相关信息。
- 单击下一步,然后系统会签署证书请求并创建相应证书。
证书管理
若要导入证书:
您可导入之前导出的证书或来自商业或第三方认证机构的证书以及私钥,以便其他设备信任您的 DiskStation。
- 单击添加。
- 选择添加新证书并单击导入证书。
- 按照向导的说明完成导入证书。
注:
- 部分认证机构颁发的证书并不会含有中间证书。
- 证书必须为 X.509 PEM 格式。
- 私钥必须为 RSA 格式且不可受密码短语保护。
若要导出证书:
可下载现有证书进行管理或归档,证书还可导入到其他用户的设备以在您的DiskStation和其他设备之间建立互信关系。导出的文件含有 DiskStation的证书、私钥和自我签署根证书。
- 选择所需证书。
- 单击导出凭证。
若要续订证书:
当您的证书将到期时,可使用此选项来续订。
- 单击 CSR。
- 选择续订证书并单击下一步。
- 下载生成的私钥和证书签发请求。
- 发送 CSR 到所需的认证机构以获得续订的证书。
若要替换证书:
如果您不想使用现有证书,可用其他证书替换。
- 单击添加。
- 从下拉菜单中选择替换已有证书和不需要的证书。
- 按照向导的说明完成替换证书。
若要编辑证书:
您可编辑证书描述或将其他证书设置为默认证书。
- 选择所需证书。
- 单击编辑,您可进行以下操作之一:
- 更改证书描述,并单击确定。
- 选择设为默认证书以向其分配默认状态,并单击应用。
若要配置证书:
您可根据需求将服务的证书更改为其他证书。
- 单击配置可显示所有的服务和相应的证书。
- 单击目标服务当前的证书。
- 请从下拉菜单中选择正确的证书。
- 单击确定。
若要删除证书:
- 选择不需要的证书。
- 单击删除以完成删除证书。
注:
- 默认证书无法删除。
- 如果您删除非默认证书,则默认证书将接管其对应的服务。请注意,默认证书不一定能与这些服务完全兼容。
若要修复证书:
当证书出现错误时,您将无法访问使用该证书注册的服务。请从以下选项中选择一项以修复证书:
- 申请新证书,如 Let's Encrypt。
- 再次导入证书。
- 将服务的证书更改为其他证书。