在控制面板的安全性选项中,群晖提供了上传 SSL 证书的功能,以便于使用者通过互联网安全的访问 NAS。不过 reizhi 在使用中却发现,无论是替换自带的自签名证书,还是完全删除,在重启 NAS 后都会出现默认证书变为自签证书的问题。这样一来,访问时便会出现不信任的提示以及红色的 HTTPS 标识。 不过在网络上却并没能搜索到相关问题的报告和解决方案,于是 reizhi 决定自己研究解决。在控制面板几经尝试都没能成功后,最终通过更改文件权限解决了默认证书的问题,在此作为记录。 首先我们需要进入控制面板-终端机和 SNMP ,打开 SSH 功能以便后续操作。随后打开套件中心,点击设置,添加社区源:
http://packages.synocommunity.com/
此时套件中心会出现社群标签,搜索并安装:Easy Bootstrap Installer,安装完成后重启 NAS。此时我们的 NAS 便成为了一台完整的 Linux 服务器,可以通过 ipkg install 来自由安装软件包了。而 iPKGui 主要是为 ipkg 提供了 GUI 图形界面,非必须安装。 最后我们通过 putty 或 xshell 等 ssh 软件登录 NAS ,帐号密码与网页端相同。登录成功后执行:sudo -i 并再次输入密码,切换到 root 权限。 在确保当前默认证书正确的情况下,执行:
ipkg install e2fsprogs
等待安装完成,再依次执行:
- cd /usr/syno/etc/certificate/system/default
- chattr +i fullchain.pem
- chattr +i privkey.pem
由于未知的原因,群晖在关机重启后,会重置 fullchain.pem 以及 privkey.pem 两个证书文件为自签证书,导致 SSL 无法验证。通过这三行命令,便可以将证书文件锁定,防止系统更改。 至此,再重启 NAS ,也不会发生默认证书变为自签证书的问题了。不过如果日后需要更新或删除证书,请先运行以下命令解除文件锁定:
- cd /usr/syno/etc/certificate/system/default
- chattr -i fullchain.pem
- chattr -i privkey.pem
原文链接:https://roov.org/2018/08/synology-default-ssl-certificate/
