watermoon 发表于 2019-1-16 15:53:27

免费,免费,还是免费!——网页端访问安全NAS解决方案

本帖最后由 watermoon 于 2019-1-16 15:55 编辑

  群晖NAS可以很方便地在外网环境的网页端访问和使用,不过现在http的访问方式都被浏览器标称为“不安全”,建议该走https方式。这种方式需要SSL证书支持,没有证书依然逃不过红色的警告,甚至被标称为假冒网站。白群本身就提供免费的域名和动态域名解析,然而它提供的SSL证书却是自签署的证书,所以使用https访问时仍然会被标称为“不安全”,为了那把小绿锁,同时秉持着一贯免费的策略,以下将提供免费顶级域名+免费SSL证书+免费动态域名解析的全套解决方案。
一、申请免费顶级域名并设置动态域名解析:
  群晖提供的是二级域名,我们需要一个顶级的。当然你可以花钱去购买,不是特别的名字,花不了多少钱。曾经CN域名有过1元钱一年的推广活动,我买过几年,后来当然是涨价了。现在还是觉得免费的不错。
1.申请免费域名。
  freenom.com是个不错的免费顶级域名提供商,支持中文,不过后台管理仍然是英文的。注册流程比较简单,这里就不再赘述。  登录之后,在Services菜单下,点击Register a New Domain,注册一个新域名。随后在框里输入你心仪的名字,然后检查可用性。在列表中选择一个Free的域名即可。  Tips:免费域名最多选12个月,那么到期后怎么办呢?只要在到期前的15天内续签,那么又能免费12个月。续签也还是在Services菜单下,点击Renew Domains,在列表中需要续签的域名后点Renew按钮即可。
2.动态域名解析。
  现在,我们有了一个免费的顶级域名,接着要做的就是把它解析到自己的NAS上。由于家庭宽带通常都没有固定的IP地址,所以我们要使用到动态域名解析。怎么把我们刚刚申请到的免费顶级域名变成动态域名呢?本来是可以用dynu.com来做到的,然而因为不可描述的原因,现在这个网站虽然可以访问到,但是其解析功能已经无法在大陆实现了。于是我们可以利用到白群提供的免费二级动态域名,把顶级域名指向它。先去DSM中的控制面板中做好动态域名解析,记录下群晖提供的那个免费二级动态域名。然后回到freenom.com上,在Services菜单下的My Domains里看到自己的域名,点击Manager Domain进去设置。点Manage Freenom DNS标签,在下面增加一条记录,Type选CNAME,后面填写群晖提供的免费二级域名,点Save Changes即可。Name一栏可以保持空白,但有时却会被告知错误,那么就填个www也行。  至此,免费的顶级域名已经可以访问NAS了。
二、申请免费SSL证书:
  有了域名之后,需要搭配上相应的SSL证书,才能让浏览器显示为安全的站点。标准的安全证书很贵哦,不过也有免费的,比如阿里云上就能申请到免费的Symantec证书。
1.购买免费SSL证书。
  登录阿里云,在SSL证书的控制台中点击“购买证书”,看看价格,确实有点贵,我们需要的是免费的哟。再点“Symantec”,怎么还是那么贵?阿里云把免费的东西藏得很深哟。继续点击“增强型OV SSL”,看——“免费型DV SSL”终于出现了。接下去就是放入购物车用0元购买了。  Tips:免费证书时长最多1年,且不支持续签。所以,一年以后,在到期前记得再新购一个。
2.申请免费SSL证书。
  买完之后,还不能用,必须经过申请得到审核和签发的程序。  把第一步骤中申请得来的域名填入其中,其他的可以随意,关键在于“域名验证方式”。曾经有一段时期,电信运营商是不封锁家庭用户宽带80/443端口的,那么我们可以使用文件验证方式,然而自从开了某个大会之后,标准端口给封了,文件验证方式当然失效了。我询问过阿里云的客服,因为这种验证基本都是机器自动的,所以他们无法修改端口号,所以无解。好在我们有了自己的免费顶级域名,只要选择“手工DNS验证”方式就可以了。点击下一步后,会生成一个验证的txt字串。  此时,登录到freenom的管理界面,仍然是在Services菜单下的My Domains里看到自己的域名,点击Manager Domain进去设置。点Manage Freenom DNS标签,在下面增加一条记录,Type选TXT,按照阿里云验证页面中的要求,将对应的文本字串填入Name和Target,Save Changes完成。  稍等一会儿,如果在阿里云验证页面中点击“验证”没有出现错误的话,那么再耐心的等一会儿,证书就会签发完成。
3.在DSM中设置证书。
  证书签发之后,在阿里云管理界面中就能够下载。  选择Apache下载证书,是一个压缩文件,里面包含三个文件:一个*.key,一个*_chain.crt和一个*_pubic.crt。将它们解压缩放在某个目录下备用。  登入群晖的DSM,在控制面板-安全性中选择证书标签,新增证书,添加新证书,导入证书。然后到了关键一步。私钥选*.key,证书选*_pubic.crt,中间证书选*_chain.crt,确定。  证书上传完成后,点击配置可按需给应用指定证书,或者选编辑干脆把“设为默认证书”勾上。
  大功告成!再用https访问一下,是不是从“不安全”变成了小锁头呢?

wshikaka 发表于 2019-1-19 14:08:31

就等周末维修人员桥接光猫了

yzzzm 发表于 2019-1-27 19:25:33

支持一下

ykm91586 发表于 2019-6-2 09:49:28

只有一年,我申请过,一年后怎么办?换个域名么?

cheyw 发表于 2019-6-2 15:14:51

学习了,支持下

watermoon 发表于 2019-6-2 15:25:17

ykm91586 发表于 2019-6-2 09:49
只有一年,我申请过,一年后怎么办?换个域名么?

到期前可以续签。

bgtzhang 发表于 2019-6-4 13:40:21

这个很重要,一定要标记一下

gooos 发表于 2020-1-27 14:02:52

马克一下!

徐徐呀徐 发表于 2020-3-21 15:31:18

学习了,正准备搞一个域名玩玩

smallstick 发表于 2022-4-28 00:01:13

标记一下
页: [1]
查看完整版本: 免费,免费,还是免费!——网页端访问安全NAS解决方案