大洼县打印机价格交流组

华硕路由器:免费 SSL 证书申请教程

顺德无边2018-11-29 13:40:07

经过了前两篇教程《免费设置 IPv6 教程》、《使用顶级域名 DDNS 教程》,您现在应该用上了 IPv6、并且有一个私人专属 DDNS 为您服务,到目前为止看起来一切都很棒!但是我要让这一切变得更好,接下来就是本篇教程,为您的 DDNS 域名申请免费 SSL 证书。

在开始本教程前,请确认您具备以下条件:
1、一台拥有 AiCloud(个人云)功能的华硕路由器。( Asuswrt-Merlin 380.67 之前的版本会出现丢失证书,380.67 版本后修复此问题,官方系统没有此问题)
2、路由器可以获取到公网 IP。(不了解什么是公网 IP?请看《免费设置 IPv6 教程》需具备条件第三项)
3、已经按照上一篇教程,配置好了您的 DDNS。

如果以上任何条件不能满足,将无法执行此教程。





在开始本教程前,按照惯例我要先做一些科普:

什么是 HTTPS?HTTPS 是一种网络安全传输协议。在计算机网络上,HTTPS 经由超文本传输协议进行通信,但利用 SSL/TLS 来加密数据包。[1],通俗地讲,网址链接分为两种:更加安全的 HTTPS,比如 https://www.baidu.com;和不安全的 HTTPhttp://koolshare.cn。访问 HTTPS 开头的网址时,您的浏览器会与网站协商加密协议,然后您网站显示的任何内容都是加密后再解密的,您在网站上的任何操作不会被他人窃取;而 HTTP 则不会保护您,您所有访问的信息全部公开暴露在网络中,这包括您输入的密码。您可以想象一下如果用 HTTP 登录 AiCloud(个人云),任何人都能知道您的路由器登录密码,是不是非常可怕?

为什么要用 HTTPS?为了安全,HTTPS 会加密访问网站的所有信息,包括您的密码,甚至微不足道的图片。所有信息都能确保来自该网站,而不会被中间人植入钓鱼信息,或者被黑客窃取您输入的密码。

我怎么知道我浏览的网页是不是 HTTPS?如果您通过 HTTPS 访问,在浏览器地址栏旁边通常会有 “锁” 符号,或者显示为 “安全”、“已加密”。

为什么华硕路由器开启 HTTPS 还会弹出不安全的警告?HTTPS 必须拥有一个证书,而证书必须来自具有公信力的证书颁发机构。但是路由器中的证书不是由正规机构颁发的,而是路由器自行签发的,所以会弹出警告信息。不过通过这篇教程我将教您如何在正规机构申请免费合法的 HTTPS 证书。

什么是证书?证书就是一个证明,证明这个网站的真实性、证明您与网站通信没有被窃听,路由器自行签发的证书不被系统或浏览器信任,所以我们需要申请一个合法的证书。

路由器有了合法的证书有什么好处?您通过 DDNS 域名登录 AiCloud,浏览器再也不会提示您不安全。

总结:HTTPS 让数据传输更加安全,而合法的证书能够使 HTTPS 被浏览器信任,被浏览器信任后才能无障碍地使用 HTTPS。
这篇教程主要是教您为您的顶级域名 DDNS 申请 HTTPS 证书,以  AiCloud 作为示例。在开始教程前,您需要知道:按照教程设置证书后,浏览器通过 DDNS 访问 AiCloud 将不会再警告不受信任、不安全。此教程也适用于远程设置路由器(但是我非常不推荐您远程设置路由器,开启该功能将给您带来无尽的安全隐患)。此教程配置完成后,并不直接适用于任何基于端口转发的服务,例如 NAS,您必须将申请到的证书单独配置到该服务之上。


一、申请证书
我们此次申请的证书来自 Let's Encrypt 的免费证书,每三个月需要续期一次。申请方法在官网有许多种,我们使用浏览器来申请。

1、打开 https://www.sslforfree.com/ (这是 Let's Encrypt 指定的四种浏览器申请方法之一,也是最简单的方法),填入您上一篇教程申请的顶级域名 DDNS(比如我的 router.routerexample.cf),然后点击 [ Create Free SSL Certificate(创建免费 SSL 证书)]

2、接下来要验证该域名是否是您拥有的。前两种验证不适合没有 80 端口的朋友,因此我们选择第三种 [ Manual Verification (DNS)(DNS 验证)]

3、接下来点击 [ Manually Verify Domain(手动验证域名)]

4、新建一个浏览器窗口,打开 https://dns.he.net/ 并且登录,点击编辑符号,配置您的域名。


5、新建 TXT 记录。


6、回到刚才申请证书的窗口,复制填入加粗的信息,TTL 选择 [ 5 minutes (300)(5 分钟)]

填入完成后如下图所示,点击 [ Submit(提交)]

7、然后点击申请证书页面下方的 [ Download SSL Certificate(下载 SSL 证书)]

(如果卡在这一步,就多等一会儿,或者检查上面几步信息有没有填错,国内网络不好确实也会卡在这里)

8、注册一个通知帐号。填写邮箱和密码,点击 [ Create Account(创建帐号)] ,这样在证书快到期前一周可以收到提醒邮件,以便及时续签。(也可以略过此步骤)


9、点击 [ Download All SSL Certificate Files(下载全部 SSL 证书文件)]。紧接着会得到一个 sslforfree.zip 文件,里面包含了 私钥(Private Key)、证书文件(Certificate)以及我们用不到的 证书链(CA Bundle)。

到此,证书申请就结束了。切记,私钥千万不可以被别人得到,别上传网盘,以免泄露造成重大安全风险。


二、在路由器中配置证书

1、打开 AiCloud 功能,前往路由器设置页面 [ 一般设置 ] — [ AiCloud 2.0 个人云 2.0 应用 ] — 开启 [ 云端硬盘 ]

(建议修改 [ AiCloud 2.0 ] — [ 设置 ] — [ AiCloud 网络访问端口 ],默认 443 端口在公网上非常不安全!建议输入端口范围:2000 ~ 32000。)

2、用路由器管理员帐号登录 AiCloud。点击左下角 [ 设定 ] — [ 证书 ] — [ 汇入证书 ]

3、解压 sslforfree.zip 文件,private.key 为私钥,certificate.crt 为证书(ca_bundle.crt 没有用),然后上传,最后点击  [ 汇入证书 ]

4、汇入成功后浏览器会弹出: [ Complete to import certificate, and the page will be refreshed after a few seconds.(证书汇入成功,页面将在几秒内自动刷新) ] 。如果弹出其他内容,请重新汇入一次证书。

到此就全部完成了!赶快打开您的 https://DDNS:端口号 看看是不是设置成功了!

请注意:只有通过 顶级域名 DDNS 访问路由器的 AiCloud 才有效,192.168.1.1 或者 router.asus.com 是无效的,因为前者是 IP 无法申请证书,后者域名所有者不是您。请妥善保管好私钥文件,如果其他服务需要证书,例如 NAS,请在 NAS 的设置中上传该证书私钥,方法不再详述。
最后提醒您,暴露在公网下的任何端口都会为您带来风险,没有必要千万不要打开。如果您用不到  AiCloud、用不到 远程访问路由器,就请关闭这些功能。在计算机安全领域有句老话 “没有绝对的安全”,关闭这些没有用的功能能为您减少很多安全隐患。




提升 AiCloud 外网访问安全性的番外篇
提升安全性的方法很简单

一、关闭 [ 从互联网设置路由器 ]
二、使用非管理员帐号登录 AiCloud。

第一步,默认情况下是关闭的,不建议您开启,关闭请前往路由器的 [ 高级设置 ] — [ 系统管理 ] -— [ 系统设置 ] — [ 从互联网设置 ]
第二步,首先创建一个非管理员帐号,前往路由器的 [ 一般设置 ] — [ USB 相关应用 ] — [ 服务器中心 ] — [ 网络共享(Samba)] 点击 + 符号新增帐号。然后设置下访问权限。

这个帐号可以用来登录 AiCloud,且权限极低,最重要的是不能登录路由器,适合远程使用。


到此本系列教程就全部结束了,您可以通过查看历史消息回顾前两篇教程《免费设置 IPv6 教程》《使用顶级域名 DDNS 教程》。非常感谢您的观看,再见!

Copyright © 大洼县打印机价格交流组@2017