我們使用 cookie 來幫助我們改善網頁體驗。請閱讀我們的 Cookie 政策

NAS 324

使用 HTTPS 進行更安全的 NAS 連線

介紹如何設定 HTTPS,讓 NAS 連線更安全

2022-07-19

課程目的

完成此課程後您將能夠:

  1. 安裝憑證到您的 ASUSTOR NAS。
  2. 使用 HTTPS 可以讓您以更安全的方式連結您的 NAS 至不同的客戶端裝置。

必修項目

課程必修項目:


學生須先具備以下知識:


大綱

1. HTTPS 簡介

2. 啟用 HTTPS

2.1 啟用 ADM HTTPS 連線

2.2 啟用網站伺服器的 HTTPS

3. 增加一個已經核可簽署過的憑證

3.1 手動匯入憑證

3.2 從 Let's Encrypt 取得憑證





1. HTTPS 簡介

HTTPS (又稱 HTTP over TLS, HTTP over SSL 或 HTTP Secure) 是廣泛用於網際網路的一種安全的通訊協定。HTTPS 是透過傳輸層安全性協定 TLS (Transport Layer Security) 或其前身安全通訊協定 SSL (Secure Sockets Layer) 將超文本傳輸協定 Hypertext Transfer Protocol (HTTP) 進行連線加密。
目前網路上很普遍使用 HTTPS,因為 HTTPS 提供對於網站及與它通訊的相關網站伺服器進行身份認證以避免中間人攻擊。


下列為 ASUSTOR NAS 上最普遍使用 HTTPS 的連線方式:

  1. 從瀏覽器登入 ADM 以管理、設定及使用 ASUSTOR NAS。請參閱這裡以啟用 ADM HTTPS 連線及設定通訊埠。
    例如: https://NAS_CloudID.myasustor.com:[ADM_HTTPS_port]
  2. 在 ASUSTOR NAS 上安裝相關網站伺服器的 Apps,並啟用網站伺服器來架設個人網頁。例如:安裝 Wordpress 以架設個人網頁,即可使用瀏覽器通過 HTTPS 來連結網頁。請參閱這裡以啟用網站伺服器 HTTPS 連線及設定通訊埠。
    https://NAS_CloudID.myasustor.com:[HTTPS_webserver_port]/wordpress


2. 啟用 HTTPS


2.1 啟用 ADM HTTPS 連線

  • 使用管理員權限帳號登入 ADM 。
  • 選擇 [偏好設定] [一般] [管理]
  • 選取 [啟用 HTTP 加密 (HTTPS)]。預設 ADM 的 HTTPS 通訊埠是 8001。

建議您變更預設的系統通訊埠 (8000 及 8001) 以降低被攻擊的風險。

  • 選取 [將 HTTP 連線自動轉向 HTTPS 連線]
  • 點擊 [套用] 讓設定生效。



2.2 啟用網站伺服器的 HTTPS

  • 使用管理員權限帳號登入 ADM。
  • ADM 3.5:選擇 [服務] [網站伺服器]
  • ADM 4.0:選擇 [Web Center] [網站伺服器]
  • 選取 [啟用加密網站伺服器通訊埠]。預設網站伺服器的 HTTPS 通訊埠是 443,您也可以設定成其它通訊埠。
  • 點擊 [套用] 讓設定生效。

ADM 3.5:


ADM 4.0:




3. 增加一個已經核可簽署過的憑證

ASUSTOR 有內建的簽署憑證在 ADM 中,但是瀏覽器並不信任這個憑證,因為不是經由第三方認證的。所以,當您用 HTTPS 來連線到您的 ASUSTOR NAS,您會看到隱私權錯誤的訊息。 (如下圖所示使用 Google Chrome 為例)


您可以點擊 "繼續瀏覽網站 Proceed to [NAS IP] (unsafe)" 連結去跳過這個頁面並登入 ADM。然而,如果要正確驗證您 ASUSTOR NAS 的身份確保安全連線,你必須從信任的憑證認證機構取得有效的簽署憑證,然後匯入 ADM。



3.1 手動匯入憑證

如果你已經有一個註冊過的網域名稱且擁有一個從信任的憑證認證機構得到的有效簽屬憑證,那您可以依照以下步驟匯入憑證至 ADM。
(如果您沒有註冊過的網域名稱並且想用 CloudID.myasustor.com 請參考 3.2 從 Let's Encrypt 取得憑證)


步驟 1

  • 登入 ADM,選擇 [偏好設定] [憑證管理員],接著點擊 [新增]


步驟 2

  • 輸入憑證的名稱,接著點擊 [下一步]


步驟 3

  • 選擇 [匯入您的 SSL 私鑰及憑證],接著點擊 [下一步]


步驟 4

  • 使用 [瀏覽] 按鈕從您的本地端機器選擇 [私鑰] (*.key 或 *.pem)、[憑證] (*.crt 或 *.pem) 和 [中繼憑證](非必要),接著點擊 [完成]



3.2 從 Let's Encrypt 取得憑證

Let's Encrypt 是一個免費自動化,開源的憑證認證機構 (CA),它提供信任的免費憑證給如果擁有網域名稱的任何人。Let's Encrypt 所發行的憑證可被所有的網頁瀏覽器辨識成功。 ASUSTOR NAS 的憑證管理員可以直接連結到 Let's Encrypt 去產生有效的憑證然後自動安裝。基本上這讓您以更快、更簡單、零成本的方式透過 SSL 連線增強了 NAS 的安全性。

如果您沒有申請網域名稱 (Domain name),你也可以使用 [cloudid].myasustor.com 作為您的網域名稱來申請。


註:

  1. myasustor.com DDNS 服務新增 DNS Challenge 支援,升級至 ADM 4.1 後,為 myasustor.com DDNS 申請 Let's encrypt 憑證時,路由器將不再需要開啟 80 通訊埠轉發。請略過步驟 1 並進入步驟 2。
  2. 如果您使用的是非 ASUS 路由器,並且預設未使用 80 通訊埠,請略過步驟 1 並進入步驟 2。

步驟 1

  • 如果您使用 ASUS 路由器或預設使用通訊埠 80 的某些路由器,則必須手動進入路由器設定並使用 NAS 內部網路 IP 設定通訊埠 80 來啟用 Let's Encrypt。

說明:
https://www.asustor.com/knowledge/detail/?group_id=1006

注意:在進行步驟 2 之前,請確認 WAN IP:80 通訊埠是否可以正常連接。有時已經如 FAQ 中說明一樣在路由器中設定了通訊埠,但路由器本身無法支援。

  • 您可以在 [手動連線] 設定中找到您 NAS 的 WAN IP。


  • 在瀏覽器位址欄中輸入您 NAS 的 WAN IP:80。


  • 如果您可以看到如下的頁面,那麼您可以繼續設定 Let's Encrypt。


步驟 2

  • 登入 ADM。
  • ADM 3.5:選擇 [服務] [網站伺服器]
  • ADM 4.0:選擇 [Web Center] [網站伺服器]
  • 選取 [啟用網站伺服器]。請確認您是使用預設的 80 通訊埠。如果您先前有參照步驟 1 去 ASUS 路由器設定非 80 通訊埠,你也會需要修改通訊埠。例如,用 8501。
    請不要選取 [啟用加密網站伺服器通訊埠]

註:升級至 ADM 4.1 後,為 myasustor.com DDNS 申請 Let's encrypt 憑證時,已不再需要設定 80 通訊埠。


ADM 3.5:


ADM 4.0:


如果您先前有參照步驟 1,請參考下圖去修改網站伺服器的通訊埠成任何的非 80 的通訊埠。


ADM 3.5:


ADM 4.0:


步驟 3

  • 選擇 [偏好設定] [手動連線] [EZ-Router],確認 [Web Center] 有成功加到 [通訊埠轉發] 列表。

步驟 4

  • 如果您的路由器不支援 EZ-Router,請手動到路由器管理介面去設定通訊埠轉發。

注意:

  1. 在 Let's Encrypt 分派憑證之前,它會使用通訊埠 80 去執行網域認證。因此,請確認您的 NAS 跟路由器有打開通訊埠 80 以允許從網際網路來的連線。
  2. 升級至 ADM 4.1 後,為 myasustor.com DDNS 申請 Let's encrypt 憑證時,已不再需要設定 80 通訊埠。

步驟 5

  • 登入 ADM,選擇 [偏好設定] [憑證管理員],然後點擊 [新增]


步驟 6

  • 請輸入您想取的憑證的名稱,並設定為預設憑證,接著點擊 [下一步]


步驟 7

  • 選擇 [從 Let's Encrypt 取得憑證],若出現安裝提示,請先點擊連結至 NAS 的 App Central 安裝 Let's Encrypt ACME Client。安裝完成後點擊 [下一步]


步驟 8

  • 請輸入以下資訊:
    • [網域名稱]:請輸入您跟您的網域提供者所註冊的網域名稱。如果您使用 myaustor.com,您可以同時輸入您的 Cloud id 加上 .myasustor.com。 例如: cloudid.myasustor.com。
    • [電子郵件]:請輸入要用來註冊憑證的電子郵件。如果您想使用 myasustor.com,這邊可以使用您 NAS 註冊的電子郵件。
    • [主體別名]:如果您希望這個憑證用在不同的網域,請輸入其它網域的名稱。(此為非必填的項目)
    • [憑證到期時是否要自動更新]:Let's Encrypt 發行的憑證會在 90 天後過期。選擇這個選項,如果網域驗證有成功,ADM 會自動幫你在憑證到期前更新憑證。請確認您的 NAS 與路由器的通訊埠 80 有打開,以利憑證更新。

    註:升級至 ADM 4.1 後,為 myasustor.com DDNS 升級 Let's encrypt 憑證時,已不再需要設定 80 通訊埠。

  • 點擊 [完成]。Let's Encrypt 憑證會匯入至 ADM。


注意:如果您使用 HTTP 連結,網頁仍然會不被瀏覽器信任。請務必確認您輸入的網址是 https,例如: https://CloudID.myasustor.com:[ADM_HTTPS_port]/

這篇文章有幫助嗎? /