一、先搞懂:HTTPS 与 CSR 的核心作用(为什么必须配置?)
在操作前需明确官方对 HTTPS 与 CSR 的定位 —— 两者是 “NAS 远程安全访问” 的基础,缺一不可,避免因认知偏差导致配置遗漏。
1. HTTPS 的核心价值:加密数据传输
HTTPS(Hypertext Transfer Protocol Secure)是 “HTTP 的安全版本”,通过 SSL/TLS 协议对 NAS 与客户端(电脑、手机)间的所有数据(如登录密码、文件传输内容)进行加密,核心解决两大风险:
- 中间人攻击防护:防止黑客拦截网络数据(如远程登录时的 DSM 密码),即使拦截也无法解密;
- 数据完整性保障:确保传输的文件、指令未被篡改(如备份任务指令被修改为删除数据)。
Synology NAS 默认支持 HTTPS,但初始使用 “自签名证书”(仅 NAS 自身认可,浏览器不识别),需替换为 “可信证书”(由第三方 CA 机构颁发,如 Let's Encrypt、Comodo),而 CSR 正是申请可信证书的 “身份申请文件”。
2. CSR 的核心作用:申请可信证书的 “身份凭证”
CSR(Certificate Signing Request,证书签名请求)是一份 “包含 NAS 身份信息的加密文件”,本质是向 CA 机构(证书颁发机构)证明 “你是该域名的合法持有者”,申请流程类比 “申请身份证”:
- CSR = 身份证申请表(包含姓名、地址等身份信息,对应 NAS 的域名、组织信息);
- CA 机构 = 派出所(审核信息真实性,通过后颁发可信证书);
- 可信证书 = 身份证(浏览器认可,访问时无安全警告)。
Synology DSM 可直接生成 CSR,无需借助第三方工具,生成时需准确填写域名等信息,否则 CA 机构会拒绝颁发证书。
二、配置前必做的 4 项前提准备(官方明确要求)
启用 HTTPS 与创建 CSR 需满足 “版本、权限、域名、网络” 四大条件,缺少任一条件会导致配置失败或证书无效:
1. 确认 DSM 与硬件兼容性
- DSM 版本:需 DSM 6.0 及以上(推荐 DSM 7.x 最新版,如 7.2-64570,功能更稳定,支持更多 CA 证书类型);
- 硬件要求:无特殊硬件限制,所有 Synology NAS 型号(如 DS220+、RS2423+、SA3200D)均支持 HTTPS 与 CSR 生成;
检查方法:登录 DSM→「控制面板 > 系统 > 系统信息」查看 DSM 版本;若版本过低,通过「更新和还原 > 检查更新」升级(升级前建议备份系统配置)。
2. 拥有 DSM 管理员权限
所有操作需 “管理员账号”(如默认 admin 账号)或具备 “安全性设置权限” 的用户账号 —— 普通用户无权限修改 HTTPS 配置或生成 CSR。
权限验证:登录 DSM 后,若能看到「控制面板 > 安全性」菜单,说明具备权限;若看不到,联系管理员在「控制面板 > 用户账号 > 编辑 > 权限」中勾选 “安全性设置” 权限。
3. 准备域名(申请可信证书必需)
若仅使用 “自签名证书”(适合局域网访问,远程访问有浏览器警告),无需域名;若需 “可信证书”(无警告,适合远程访问),需提前准备:
- 域名类型:需完全限定域名(FQDN,如nas.yourcompany.com、home-nas.example.com),不可用 IP 地址(如 192.168.1.100);
- 域名所有权:需能证明你是域名合法持有者(如通过域名解析商验证、接收 CA 机构发送的验证邮件);
- 域名解析:需将域名解析到 NAS 的公网 IP(远程访问用)或局域网 IP(局域网访问用),解析生效后可通过ping nas.yourcompany.com测试。
4. 确认网络端口可访问
HTTPS 默认使用 443 端口,需确保端口未被防火墙拦截:
- 局域网访问:检查 NAS 所在局域网防火墙(如路由器防火墙)是否允许 443 端口入站;
- 远程访问:需在路由器中配置 “443 端口转发”(将公网 443 端口映射到 NAS 的局域网 IP+443 端口),并确认宽带运营商未屏蔽 443 端口(部分运营商对个人用户屏蔽 80/443 端口,需联系客服开通)。
三、Step 1:在 DSM 中启用 HTTPS(基础配置,先于 CSR)
启用 HTTPS 是后续安装证书的基础,需先配置 HTTPS 端口、启用加密传输,步骤适用于 DSM 7.x/6.x 版本,差异处会明确标注:
子步骤 1.1:DSM 7.x 版本启用 HTTPS(主流版本)
- 进入系统安全设置:
登录 DSM→点击桌面「控制面板」(灰色齿轮图标)→在 “安全性” 分类下找到「安全性」,双击打开;
- 配置 HTTPS 端口与加密协议:
切换到「系统安全」标签页,找到 “HTTPS/SSL” 模块:
- HTTPS 端口:默认 443(推荐保留,若 443 被占用,可修改为其他端口如 8443,需记录新端口,访问时需加端口,如https://nas.yourcompany.com:8443);
- SSL/TLS 协议版本:勾选 “TLSv1.2” 和 “TLSv1.3”(官方推荐,禁用 “SSLv3”“TLSv1.0”“TLSv1.1”,这些协议存在安全漏洞);
- 启用 HTTPS 访问:
勾选 “启用 HTTPS 连接”,若需强制所有访问走 HTTPS(避免 HTTP 明文传输),勾选 “将 HTTP 连接自动重定向到 HTTPS”(推荐,确保数据全程加密);
- 保存配置:
点击页面底部「应用」,系统会提示 “设置已保存,HTTPS 连接已启用”,此时可通过https://NAS局域网IP(如https://192.168.1.100)访问 DSM,浏览器会显示 “不安全” 警告(因使用默认自签名证书,后续安装可信证书后会消失)。
子步骤 1.2:DSM 6.x 版本启用 HTTPS(旧版本适配)
- 进入安全设置:
打开「控制面板 > 安全性 > 安全设置」;
- 配置 HTTPS:
- 勾选 “启用 HTTPS 连接”,设置 HTTPS 端口(默认 443);
- 在 “SSL/TLS 协议” 中仅保留 “TLSv1.2”,禁用旧协议;
- 勾选 “HTTP 到 HTTPS 的自动重定向”(可选但推荐);
- 应用设置:
点击「确定」,完成 HTTPS 启用,访问方式与 DSM 7.x 一致,同样会有自签名证书警告。
四、Step 2:在 DSM 中创建证书签名请求(CSR)(核心步骤)
创建 CSR 是申请可信证书的关键,需准确填写身份信息(与域名匹配),否则 CA 机构会拒绝审核。以下是 DSM 7.x/6.x 通用步骤,字段填写有官方明确要求:
子步骤 2.1:进入证书管理界面
- DSM 7.x:打开「控制面板 > 安全性 > 证书」,点击「证书」标签页(默认显示 “默认证书”,即自签名证书);
- DSM 6.x:打开「控制面板 > 安全性 > 证书 > 证书」;
点击页面右上角「创建」按钮,在下拉菜单中选择「证书签名请求(CSR)」,进入 CSR 生成向导。
子步骤 2.2:填写 CSR 核心信息(官方字段说明)
CSR 信息需与 “域名所有权证明” 一致,每个字段都有严格格式要求,错误填写会导致 CA 审核失败,官方要求如下表:
按上述要求填写所有字段后,点击「下一步」。
子步骤 2.3:配置 CSR 密钥与保存文件
- 选择密钥长度:
官方推荐「4096 位」(加密强度更高,安全性优于 2048 位,虽生成时间略长,但远程访问更安全),勾选 “4096 位”;
- 设置密钥名称(可选):
自定义密钥名称(如 “NAS_CSR_Key_2025”,便于后续管理多个密钥),默认名称为 “certificate”;
- 保存 CSR 文件与私钥:
- 点击「下一步」→系统会生成 CSR 文件(文本格式,包含 “-----BEGIN CERTIFICATE REQUEST-----” 开头的内容)和私钥(用于后续安装证书,需妥善保存,不可泄露);
- 点击「下载 CSR」,将 CSR 文件保存到电脑(如 “nas_csr.txt”);
- 点击「下载私钥」,将私钥文件保存到安全位置(如加密 U 盘,私钥丢失则 CSR 失效,需重新生成);
- 完成 CSR 创建:
点击「确定」,返回「证书」页面,会显示 “已创建 CSR” 记录,此时可将 CSR 文件提交给 CA 机构申请可信证书。
五、Step 3:提交 CSR 获取可信证书并安装到 DSM
生成 CSR 后,需提交给 CA 机构审核,获取可信证书后导入 DSM,替换默认自签名证书,步骤如下:
子步骤 3.1:选择 CA 机构并提交 CSR
根据需求选择 CA 机构,官方推荐两类:
- 免费 CA(适合个人 / 小型企业):Let's Encrypt(有效期 90 天,可自动续期)、ZeroSSL(有效期 90 天);
- 付费 CA(适合企业级用户):Comodo(有效期 1-3 年)、Symantec(赛门铁克,高可信度)。
以 Let's Encrypt 为例,提交流程如下:
- 访问 Let's Encrypt 官方合作伙伴平台(如 Certbot、Acme.sh),或使用 Synology DSM 自带的 “Let's Encrypt 证书申请”(更便捷,无需手动提交 CSR);
- 快捷方式:DSM 7.x「控制面板 > 安全性 > 证书 > 添加 > Let's Encrypt」,输入域名后自动生成 CSR 并提交,无需手动上传(适合新手,官方推荐);
- 若手动提交 CSR:打开 CA 机构申请页面,上传下载的 “nas_csr.txt” 文件,按提示完成域名验证(如 DNS 验证、文件验证);
- 验证通过后,CA 机构会发送 “可信证书文件”(通常为 PEM 格式,包含 “-----BEGIN CERTIFICATE-----” 开头的内容)和 “中间证书”(需一并安装,确保浏览器认可证书链)。
子步骤 3.2:将可信证书导入 DSM
- 进入证书导入界面:
DSM 7.x「控制面板 > 安全性 > 证书 > 添加 > 导入证书」;
DSM 6.x「控制面板 > 安全性 > 证书 > 导入」;
- 上传证书文件:
- 「证书文件」:上传 CA 机构颁发的可信证书文件(如 “cert.pem”);
- 「私钥文件」:上传创建 CSR 时下载的私钥文件(如 “private.key”);
- 「中间证书文件(可选但推荐)」:上传 CA 机构提供的中间证书(如 “chain.pem”,缺少会导致部分浏览器显示 “证书链不完整” 警告);
- 设置为默认证书:
导入完成后,在「证书」列表中找到新导入的可信证书,点击「操作 > 设置为默认证书」,确保 DSM 默认使用该证书;
- 应用配置:
点击「应用」,系统会重启 HTTPS 服务,此时可信证书安装完成。
六、验证 HTTPS 与证书有效性(官方推荐方法)
配置完成后需通过两种方式验证,确保 HTTPS 加密生效且证书可信:
1. 浏览器访问验证(最直观)
- 打开浏览器(推荐 Chrome、Edge),输入 DSM 的 HTTPS 访问地址(如https://nas.yourcompany.com或https://192.168.1.100:8443);
- 查看浏览器地址栏:
- 显示 “小绿锁” 图标,鼠标悬停显示 “连接安全”,说明 HTTPS 生效且证书可信;
- 点击小绿锁→「证书」,可查看证书颁发机构(如 “Let's Encrypt”)、有效期、域名等信息,确认与申请时一致。
2. DSM 证书状态验证
- 登录 DSM→「控制面板 > 安全性 > 证书」;
- 查看默认证书的 “状态”:显示 “正常”,且 “颁发者” 为 CA 机构名称(如 “Let's Encrypt Authority X3”),说明证书安装成功;
- 点击「操作 > 查看证书」,确认证书 “有效期” 未过期(Let's Encrypt 证书默认 90 天,需提前续期)。
七、5 大高频问题与官方解决方案
根据 Synology 官方支持案例,用户配置时最常遇到以下问题,解决方案均来自官方指南:
1. 启用 HTTPS 后无法访问 DSM(提示 “连接超时”)
原因:443 端口被防火墙拦截、路由器未配置端口转发、HTTPS 端口被占用。
解决方案:
- 检查端口占用:DSM 7.x「控制面板 > 网络 > 网络界面 > 端口检查」,输入 443 端口,若显示 “已占用”,修改 HTTPS 端口为 8443;
- 配置防火墙:NAS 本地防火墙「控制面板 > 安全性 > 防火墙 > 编辑规则」,添加 “允许 443 端口(TCP)入站”;
- 路由器端口转发:在路由器管理界面,将公网 443 端口映射到 NAS 的局域网 IP+443 端口(如 192.168.1.100:443)。
2. 提交 CSR 后 CA 机构拒绝颁发证书(提示 “域名不匹配”)
原因:CSR 中 “通用名称(Common Name)” 与申请的域名不一致(如 CSR 填nas.xx.com,申请域名填dsm.xx.com)。
解决方案:
- 删除原 CSR:DSM「证书」列表中找到原 CSR,点击「操作 > 删除」;
- 重新生成 CSR:严格按 “通用名称 = 申请域名” 填写(如申请dsm.xx.com,则 Common Name 填dsm.xx.com),重新提交给 CA 机构。
3. 安装可信证书后浏览器仍显示 “不安全”
原因:未安装中间证书、证书已过期、HTTP 重定向未启用。
解决方案:
- 安装中间证书:重新导入证书,确保上传 CA 提供的 “中间证书文件”;
- 检查证书有效期:DSM「证书」中查看 “到期日期”,过期则重新申请并导入;
- 启用 HTTP 重定向:DSM「安全性 > 系统安全」中勾选 “HTTP 自动重定向到 HTTPS”,避免用户通过 HTTP 访问。
4. 创建 CSR 后私钥丢失(无法安装证书)
原因:私钥未保存或保存后丢失,私钥无法找回(仅生成时可下载)。
解决方案:
- 重新生成 CSR:删除原 CSR,按步骤 2 重新创建(新 CSR 会生成新私钥);
- 重新提交 CA 申请:用新 CSR 向 CA 机构重新申请证书,不可使用旧 CSR(私钥已丢失)。
5. DSM 6.x 无法找到 “创建 CSR” 选项
原因:Note Station 版本过低(DSM 6.x 需 Note Station 1.5.0 及以上)或用户权限不足。
解决方案:
- 升级 Note Station:DSM「套件中心 > 已安装 > Note Station」点击「更新」,若无更新,登录 Synology 官网下载对应版本手动安装;
- 确认权限:用 admin 账号登录,或让管理员授予 “安全性设置” 权限(「控制面板 > 用户账号 > 编辑 > 权限」)。
总结
Synology NAS 启用 HTTPS 与创建 CSR 的核心是 “安全优先、信息准确”——HTTPS 配置需确保端口开放与协议安全,CSR 生成需严格匹配域名信息,证书安装需完整导入私钥与中间证书。通过本文步骤,可实现远程访问 “无浏览器警告 + 数据加密”,既保障个人数据安全,又满足企业级访问需求。后续需注意证书有效期(如 Let's Encrypt 90 天续期),可在 DSM 中设置 “证书到期提醒”(「控制面板 > 通知中心 > 安全性 > 证书到期」),避免证书失效导致访问异常。
若你需要针对 “Let's Encrypt 证书自动续期”“多域名证书配置”“DSM 7.x 证书批量管理” 的专项指南,可进一步说明需求,我将基于 Synology 官方内容补充详细操作步骤。
Synology NAS 启用HTTPS教程:DSM 创建证书签名请求(CSR)+ 可信证书安装
相关文章
地址:北京市海淀区白家疃尚品园 1号楼225
北京群晖时代科技有限公司