SSL на synology за маршрутизатором

Я пытаюсь включить ssl на моем synology. Проблема в том, что synology находится за маршрутизатором и может получить доступ публично, используя переадресацию портов.

Пусть говорят, что мой публичный IP-адрес 94.94.94.94

Я получить доступ к моей synology публично с помощью https://94.94.94.94:5001
Это работает нормально, но в браузере всегда есть предупреждение "Не защищено".

когда я попытался добавить новый сертификат из lets encrypt на вкладке synology security, он возвращает ошибку, потому что я думаю, что позволяет encrypt смотрит на synology на порту 80, но это не правильный порт. Это для веб-администрирования маршрутизатора.

Я был в состоянии установить Let'sencrypt на одном из synology NAS у меня было раньше, но это за счет потери доступа к веб-администрирования маршрутизатора.

любое предложение о том, как ssl synology, так что он не показывает" не обеспеченные " ошибка на браузерах?

4
задан fixer1234
14.05.2023 13:46 Количество просмотров материала 2554
Распечатать страницу

1 ответ

вы не можете назначить сертификат let's encrypt IP-адресу, тем более что большинство интернет-провайдеров выдают своим клиентам временные IP-адреса. Это означает, что ваш IP-адрес может меняться каждые несколько дней, или, по крайней мере, на каждом подключении. Вам нужно получить доменное имя, чтобы назначить сертификат, по крайней мере, бесплатный.

кроме того, вам нужно перенаправить порт 80 и 443 на NAS для проверки шифрования. Он, конечно, не будет искать порт 5001, чтобы проверить, что система сертификат запрашивается у действительно принадлежит этому доменному имени. По крайней мере, для процесса проверки (который повторяется каждый раз при обновлении сертификата) эти порты должны быть перенаправлены.

и, как уже упоминалось в комментариях, не рекомендуется перенаправлять порт 5001 в synology, так как это веб-интерфейс администратора, и дает полный доступ к вашей системе, если у кого-то есть правильные учетные данные или безопасность vulerability. Так что используйте VPN или только expose непривилегированные услуги для глобального интернета. Существует точка в том, брандмауэр в маршрутизаторе.

конечно, вы всегда можете использовать самозаверяющий сертификат, хотя это не даст вам такую же степень безопасности. Но вы можете доверять самозаверяющему сертификату в своем браузере один раз, и вы будете уведомлены, если сертификат изменится, потому что, например, кто-то подслушивает вас.

1
отвечен LukeLR 2023-05-15 21:34

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх