我們使用 cookie 來幫助我們改善網頁體驗。請閱讀我們的 Cookie 政策

NAS 324

使用 HTTPS 進行更安全的 NAS 連線

介紹如何設定 HTTPS,讓 NAS 連線更安全

2024-01-11

課程目的

完成此課程後您將能夠:

  1. 安裝憑證到您的 ASUSTOR NAS。
  2. 使用 HTTPS 可以讓您以更安全的方式連結您的 NAS 至不同的客戶端裝置。

必修項目

課程必修項目:

NAS 224:遠端存取:手動連線

學生須先具備以下知識:

DDNS


大綱

1. HTTPS 簡介

2. 啟用 HTTPS 及 DDNS

2.1 啟用 ADM HTTPS 連線

2.2 啟用網站伺服器的 HTTPS

2.3 設定 DDNS 服務

3. 增加一個已經核可簽署過的憑證

3.1 手動匯入憑證

3.2 從 Let's Encrypt 取得憑證





1. HTTPS 簡介

HTTPS (又稱 HTTP over TLS, HTTP over SSL 或 HTTP Secure) 是廣泛用於網際網路的一種安全的通訊協定。HTTPS 是透過傳輸層安全性協定 TLS (Transport Layer Security) 或其前身安全通訊協定 SSL (Secure Sockets Layer) 將超文本傳輸協定 Hypertext Transfer Protocol (HTTP) 進行連線加密。
目前網路上很普遍使用 HTTPS,因為 HTTPS 提供對於網站及與它通訊的相關網站伺服器進行身份認證以避免中間人攻擊。


下列為 ASUSTOR NAS 上最普遍使用 HTTPS 的連線方式:

  1. 從瀏覽器登入 ADM 以管理、設定及使用 ASUSTOR NAS。請參閱這裡以啟用 ADM HTTPS 連線及設定通訊埠。
  2. 在 ASUSTOR NAS 上安裝相關網站伺服器的 Apps,並啟用網站伺服器來架設個人網頁。例如:安裝 Wordpress 以架設個人網頁,即可使用瀏覽器通過 HTTPS 來連結網頁。請參閱這裡以啟用網站伺服器 HTTPS 連線及設定通訊埠。


2. 啟用 HTTPS 及 DDNS

現行的網頁瀏覽器對於 HTTPS 的連線有嚴格限制。要通過 HTTPS 使用 DDNS 連接到您的 ADM 或網站伺服器,必須為此 DDNS 設定有效的 TLS/SSL 憑證。


2.1 啟用 ADM HTTPS 連線

  • 使用管理員權限帳號登入 ADM 。
  • 選擇 [偏好設定] [一般] [管理]
  • 選取 [啟用 HTTP 加密 (HTTPS)]。預設 ADM 的 HTTPS 通訊埠是 8001。

建議您變更預設的系統通訊埠 (8000 及 8001) 以降低被攻擊的風險。

  • 選取 [將 HTTP 連線自動轉向 HTTPS 連線]
  • 點擊 [套用] 讓設定生效。



2.2 啟用網站伺服器的 HTTPS

  • 使用管理員權限帳號登入 ADM。
  • 選擇 [Web Center] [網站伺服器]
  • 選取 [啟用加密網站伺服器通訊埠]。預設網站伺服器的 HTTPS 通訊埠是 443,您也可以設定成其它通訊埠。
  • 點擊 [套用] 讓設定生效。


  • 選擇 [服務] [網站伺服器]



2.3 設定 DDNS 服務

申請合法 SSL/TLS 憑證前,需先設定 DDNS 服務。請參考這裡以設定 DDNS 服務。




3. 增加一個已經核可簽署過的憑證

ASUSTOR 有內建的簽署憑證在 ADM 中,但是瀏覽器並不信任這個憑證,因為不是經由第三方認證的。所以,當您用 HTTPS 來連線到您的 ASUSTOR NAS,您會看到隱私權錯誤的訊息。 (如下圖所示使用 Google Chrome 為例)

您可以點擊 "繼續前往 xx.xx.xx.xx (不安全)" 連結去跳過這個頁面並登入 ADM。然而,如果要正確驗證您 ASUSTOR NAS 的身份確保安全連線,你必須從信任的憑證認證機構取得有效的簽署憑證,然後匯入 ADM。




3.1 手動匯入憑證

如果你已經有一個註冊過的網域名稱且擁有一個從信任的憑證認證機構得到的有效簽屬憑證,那您可以依照以下步驟匯入憑證至 ADM。

如果您仍未為您的網域名稱申請一個從信任的憑證認證機構得到的有效簽屬憑證,請參考這裡從 Let's Encrypt 取得憑證。


步驟 1

  • 登入 ADM,選擇 [偏好設定] [憑證管理員],接著點擊 [新增]。


步驟 2

  • 輸入憑證的名稱,接著點擊 [下一步]。


步驟 3

  • 選擇 [匯入您的 SSL 私鑰及憑證],接著點擊 [下一步]。


步驟 4

  • 使用 [瀏覽] 按鈕從您的本地端機器選擇 [私鑰] (*.key 或 *.pem)、[憑證] (*.crt 或 *.pem) 和 [中繼憑證](非必要),接著點擊 [完成]。



3.2 從 Let's Encrypt 取得憑證

Let's Encrypt 是一個免費自動化,開源的憑證認證機構 (CA),它提供信任的免費憑證給如果擁有網域名稱的任何人。Let's Encrypt 所發行的憑證可被所有的網頁瀏覽器辨識成功。 ASUSTOR NAS 的憑證管理員可以直接連結到 Let's Encrypt 去產生有效的憑證然後自動安裝。這讓您以更快、更簡單、零成本的方式透過 SSL 連線增強了 NAS 的安全性。

ASUSTOR 的 myasustor.com DDNS 服務新增 DNS Challenge 支援,升級至 ADM 4.1 後,為 myasustor.com DDNS 申請 Let's encrypt 憑證時,路由器將不再需要開啟 80 通訊埠轉發。


  • 如果您使用 ASUS 路由器或預設使用通訊埠 80 的路由器,則必須手動進入路由器設定為 ADM 的網站伺服器設定另一個通訊埠,這也是獲取 Let's Encrypt 憑證所使用的通訊埠。請參閱這裡以設定路由器的通訊埠轉發。
  • 請確認使用 NAS 的 WAN IP 及通訊埠 80 是否能成功轉發到 ADM 的網站伺服器。
  • 您可以在 [偏好設定] [手動連線] 中找到 NAS 的 WAN IP。

  • 在網頁瀏覽器中輸入 http://[NAS WAN IP]:80。

  • 如果您可以看到如下的頁面,那麼您可以繼續下列步驟以設定在 ADM 上取得 Let's Encrypt 憑證。


請啟用 ADM 的網站伺服器,並確認使用預設通訊埠 80 或您之前在路由器的設定中所設定的其他通訊埠。 例如:使用通訊埠 8501。

  • ADM 3.5:選擇 [服務] [網站伺服器]
  • 選取 [啟用網站伺服器]


  • ADM 4.0:選擇 [Web Center] [網站伺服器]
  • 選取 [啟用網站伺服器]


當 Let's Encrypt 授予和更新憑證時,將使用通訊埠 80 執行網域驗證。 請確保您的路由器正確轉發通訊埠 80 到您的 NAS 以進行遠端連線。


步驟 1

  • 登入 ADM,選擇 [偏好設定] [憑證管理員],然後點擊 [新增]。


步驟 2

  • 請輸入您想取的憑證的名稱,並設定為預設憑證,接著點擊 [下一步]。


步驟 3

  • 選擇 [從 Let's Encrypt 取得憑證]
  • 若出現安裝提示,請先點擊連結至 NAS 的 App Central 安裝 Let's Encrypt ACME Client。
  • 安裝完成後點擊 [下一步]。


步驟 4

  • 請輸入以下資訊:
    • [網域名稱]:請輸入您跟您的網域提供者所註冊的網域名稱。如果您使用 myaustor.com,您可以同時輸入您的 Cloud id 加上 .myasustor.com。 例如: cloudid.myasustor.com。
    • [電子郵件]:請輸入要用來註冊憑證的電子郵件。如果您想使用 myasustor.com,這邊可以使用您 NAS 註冊的電子郵件。
    • [主體別名]:如果您希望這個憑證用在不同的網域,請輸入其它網域的名稱。(此為非必填的項目)
    • [憑證到期時是否要自動更新]:Let's Encrypt 發行的憑證會在 90 天後過期。選擇這個選項,如果網域驗證成功,ADM 會自動幫你在憑證到期前更新憑證。
  • 點擊 [完成]。


  • Let's Encrypt 憑證會儲存至 ADM。


  • 現在,您可以在網頁瀏覽器中輸入 https://[NAS DDNS]:[ADM HTTPS 通訊埠],通過 HTTPS 來連接您的 NAS。


申請完成的憑證僅能保護使用 NAS DDNS 的 HTTPS 連線是安全的,請務必使用 https://[NAS DDNS]:[ADM HTTPS 通訊埠] 在網頁瀏覽器連線 NAS。
若透過 HTTPS 使用 LAN IP 或 WAN IP 連線,網頁瀏覽器仍會判別此為不安全連線而顯示隱私權錯誤的訊息,這是正常的。若要繼續使用 NAS,則需要跳過此頁面並登入 ADM。

  • 在 Chrome 或 Edge 中,可點擊 [進階] [繼續前往 xx.xx.xx.xx (不安全)] 連結。

  • 在 Firefox 中,則點擊 [進階] [接受風險並繼續]

這篇文章有幫助嗎? /