SSL по синологии за роутером

Question

Я пытаюсь включить ssl в моей синологии. Проблема в том, что за маршрутизатором стоит синология, и он может получить публичный доступ, используя переадресацию портов.

Допустим, мой публичный IP-адрес 94,94,94,94

Я получаю доступ к своей синологии публично, используя https://94.94.94.94:5001. Это работает нормально, но в браузере всегда есть предупреждение "не защищено".

Когда я пытался добавить новый сертификат из функции let encrypt на вкладке безопасности Synology, он возвращал ошибку, потому что я думаю, что позволяет encrypt просматривает синологию на порте 80, но это неверный порт. Это для веб-администрирования маршрутизатора.

Мне удалось установить Let'sEncrypt на одном из NAS-устройств Synology, которое у меня было раньше, но это за счет потери доступа к веб-администрированию маршрутизатора.

Любое предложение о том, как ssl синологии, чтобы она не показывала "незащищенную" ошибку в браузерах?

Answer 1

Вы не можете назначить зашифрованный сертификат для IP-адреса, тем более что большинство интернет-провайдеров выдают временные IP-адреса своим клиентам. Это означает, что ваш IP-адрес может меняться каждые несколько дней или, по крайней мере, при каждом повторном подключении. Вам нужно получить доменное имя, чтобы присвоить сертификат, хотя бы бесплатный.

Кроме того, вам нужно перенаправить порты 80 и 443 на ваш NAS для проверки шифрования. Конечно, он не будет искать порт 5001, чтобы убедиться, что система, к которой запрашивается сертификат, действительно принадлежит этому доменному имени. По крайней мере, для процесса проверки (который повторяется каждый раз при обновлении сертификата) эти порты необходимо перенаправить.

И, как уже упоминалось в комментариях, не рекомендуется перенаправлять порт 5001 в вашу синологию, поскольку это интерфейс веб-администратора, и он предоставляет полный доступ к вашей системе, если у кого-то есть необходимые учетные данные или уязвимость безопасности. Поэтому используйте VPN или открывайте только непривилегированные сервисы для глобального интернета. Есть смысл иметь межсетевой экран в вашем роутере.

Конечно, вы всегда можете использовать самозаверяющий сертификат, хотя это не даст вам такой же степени безопасности. Но вы можете доверять самоподписанному сертификату в своем браузере один раз, и вы будете уведомлены, если сертификат изменится, например, потому что кто-то подслушивает вас.