介绍如何设置 HTTPS，让 NAS 连接更安全

课程目的

完成此课程后您将能够：

1. 安装证书到您的 ASUSTOR NAS。
2. 使用 HTTPS 可以让您以更安全的方式连接您的 NAS 至不同的客户端装置。

必修项目

课程必修项目：

NAS 224：远程访问：手动连接

学生须先具备以下知识：

DDNS

大纲

1. HTTPS 简介

2. 启用 HTTPS 及 DDNS

2.1 启用 ADM HTTPS 连接

2.2 启用 Web 服务器的 HTTPS

2.3 设置 DDNS 服务

3. 添加一个已经核可签署过的证书

3.1 手动汇入证书

3.2 从 Let's Encrypt 获取证书

1. HTTPS 简介

HTTPS（又称 HTTP over TLS, HTTP over SSL 或 HTTP Secure）是广泛用于互联网的一种安全的通讯协议。HTTPS 是通过传输层安全性协议 (TLS）或其前身安全链路层协议（SSL）将超文本传输协议（HTTP）进行连线加密。
目前互联网上普遍使用 HTTPS，因为 HTTPS 提供对于网站及与它通讯的相关网页服务器进行身份认证以避免中间人攻击。

注：在本地网络中，通过 HTTPS 使用局域 IP 位址连接，网页浏览器仍会判别此为不安全连接而显示隐私权错误的信息，这是正常的。您可以只在本地网络中使用 HTTP 连接。

下列为 ASUSTOR NAS 上最普遍使用 HTTPS 的连接方式：

1. 从浏览器登录 ADM 以管理、设置及使用 ASUSTOR NAS。请参阅这里以启用 ADM HTTPS 连接及设置端口号。
2. 在 ASUSTOR NAS 上安装相关 Web 服务器的 Apps，并启用 Web 服务器来架设个人网页。例如：安装 Wordpress 以架设个人网页，即可使用浏览器通过 HTTPS 来连接网页。请参阅这里以启用 Web 服务器 HTTPS 连接及设置端口号。

2. 启用 HTTPS 及 DDNS

现行的网页浏览器对于 HTTPS 的连接有严格限制。要通过 HTTPS 使用 DDNS 连接到您的 ADM 或网站服务器，必须为此 DDNS 设置有效的 TLS/SSL 证书。

2.1 启用 ADM HTTPS 连接

• 使用管理员权限帐户登录 ADM。
• 选择[设置] [一般] [管理]。
• 选取 [启用 HTTP 加密 (HTTPS)] 。默认 ADM 的 HTTPS 端口是 8001。

建议您变更默认的系统端口号 (8000 及 8001) 以降低被攻击的风险。

• 选取 [自动将 HTTP 连接更改为 HTTPS 连接]。
• 点击 [应用] 让设置生效。

2.2 启用 Web 服务器的 HTTPS

• 使用管理员权限帐户登录 ADM。
• 选择 [Web Center] [Web 服务器]。
• 选取 [启用安全的 Web 服务器端口]。默认 Web 服务器的 HTTPS 端口是 443，您也可以设置成其它端口号。
• 点击 [应用] 让设置生效。

2.3 设置 DDNS 服务

申请合法 SSL/TLS 证书前，需先设置 DDNS 服务。请参考这里以设置 DDNS 服务。

3. 添加一个已经核可签署过的证书

ASUSTOR 有内建的签署证书在 ADM 中，但是浏览器并不信任这个证书，因为不是经由第三方认证的。所以，当您用 HTTPS 来连接到您的 ASUSTOR NAS，您会看到隐私权错误的信息。 (如下图所示使用 Google Chrome 为例)

您可以点击 "继续访问 xx.xx.xx.xx (不安全)" 连结去跳过这个页面并登录 ADM。然而，如果要正确验证您 ASUSTOR NAS 的身份确保安全连接，你必须从信任的证书认证机构取得有效的签署证书，然后汇入 ADM。

3.1 手动汇入证书

如果你已经有一个注册过的域名且拥有一个从信任的证书认证机构得到的有效签属证书，那您可以依照以下步骤导入证书至 ADM。

如果您仍未为您的网域名称申请一个从信任的证书认证机构得到的有效签属证书，请参考这里从 Let's Encrypt 获取证书。

步骤 1

• 登录 ADM，选择[设置] [证书管理器]，接着点击 [添加]。

步骤 2

• 输入证书的名称，接着点击 [下一步]。

步骤 3

• 选择 [导入您的 SSL 私钥及证书]，接着点击 [下一步]。

步骤 4

• 使用[浏览] 按钮从您的本地端机器选择[私钥] (*.key 或 *.pem)、[证书] (*.crt 或 *.pem) 和 [中继证书](非必要)，接着点击 [完成]。

3.2 从 Let's Encrypt 获取证书

Let's Encrypt 是一个免费自动化，开源的证书认证机构 (CA)，它提供信任的免费证书给拥有域名的任何人。 Let's Encrypt 所发行的证书可被所有的网页浏览器辨识成功。 ASUSTOR NAS 的证书管理器可以直接连接到 Let's Encrypt 去产生有效的证书然后自动安装。这让您以更快、更简单、零成本的方式透过 SSL 连接增强了 NAS 的安全性。

ASUSTOR 的 myasustor.com DDNS 服务新增 DNS Challenge 支持，升级至 ADM 4.1 后，为 myasustor.com DDNS 申请 Let's encrypt 证书时，路由器将不再需要开启 80 端口号转发。

步骤 1

• 登录 ADM，选择[设置] [证书管理器]，接着点击 [添加]。

步骤 2

• 请输入您想取的证书的名称，并设置为默认证书，接着点击 [下一步]。

步骤 3

• 选择 [从 Let's Encrypt 获取证书]。
• 若出现安装提示，请先点击连结至 NAS 的应用中心安装 Let's Encrypt ACME Client。
• 安装完成后点击 [下一步]。

步骤 4

• 请输入以下信息：
  • [域名]：请输入您跟您的网域提供者所注册的域名。如果您使用 myaustor.com，您可以同时输入您的 Cloud id 加上 .myasustor.com。例如： cloudid.myasustor.com。
  • [电子邮件]：请输入要用来注册证书的电子邮件。如果您想使用 myasustor.com，这边可以使用您 NAS 注册的电子邮件。
  • [主体别名]：如果您希望这个证书用在不同的网域，请输入其它域名。 (此为非必填的项目)
  • [证书到期时是否要自动更新]：Let's Encrypt 发行的证书会在 90 天后过期。选择这个选项，如果网域验证成功，ADM 会自动帮你在证书到期前更新证书。
• 点击 [完成]。

• Let's Encrypt 证书会导入至 ADM。

• 现在，您可以在网页浏览器中输入 https://[NAS DDNS]:[ADM HTTPS 端口]，通过 HTTPS 来连接您的 NAS。

申请完成的证书仅能保护使用 NAS DDNS 的 HTTPS 连接是安全的，请务必使用 https://[NAS DDNS]:[ADM HTTPS 端口] 在网页浏览器连接 NAS。
若通过 HTTPS 使用局域或广域 IP 位址连接，网页浏览器仍会判别此为不安全连接而显示隐私权错误的信息，这是正常的。若要继续使用 NAS，则需跳过此页面并登录 ADM。

• 在 Chrome 或 Edge 中，可点击 [高级] [继续访问 xx.xx.xx.xx (不安全)] 连结。

• 在 Firefox 中，则点击 [高级] [接受风险并继续]。