Jak nastavit HTTPS pro vlastní hostname na NASech Synology?
- Zápis doménového jména (hostname) do souboru hosts
- Vytvoření SSL certifikátu v prostředí Synology DSM
- Import certifikátu do počítače mezi důvěryhodné kořenové certifikační autority
Určitě to dobře znáte. V prohlížeči Chrome: NET::ERR_CERT_AUTHORITY_INVALID
V prohlížeči Firefox: sec_error_unknown_issuer
Jak se této otravné hlášky zbavit, když chcete pro přístup k DSM využívat doménové jméno místo IP adresy?
Příklad:
DSM vašeho Synology NASu se nachází na https://192.168.0.5:5001 ale vy ho chcete mít dostupné na https://nasik:5001
Nejdříve si musíte vytvořit doménové jméno (hostname) k vašemu NASu. V prostředí Windows stačí editovat soubor
C:\Windows\System32\drivers\etc\hosts
Na samostatný řádek napíšeme:
- IP adresu NASu v lokální síti (192.168.0.5),
Můžete i přidat veřejnou IP adresu (123.123.123.123 – získáte ji např. zde: https://www.whatismyip.com/) pro přístup k NASu odkudkoliv (pozor na firewall!) - vámi zvolené libovolné doménové jméno (nasik)
- Za mřížku # si pak můžete napsat komentář.
Pozor, některé antivirové programy tento soubor chrání proti nežádoucímu zápisu, proto si ověřte uložení provedených změn.
V Mac OS potom:
sudo vim /etc/hosts
Šipkou sjedete kurzorem až na poslední řádek. Zmáčknete „i“ jako insert, čím vám „vim“ umožní editovat soubor. Vložíte řádek:
192.168.0.5 nasik
Stisknete „Esc“ a „:wq“ (write, quit).
V prostředí NAS Synology DS214se, DSM 6.1
Ovládací panely > Zabezpečení > Certifikát > Přidat > Přidat nový certifikát > Vytvořit certifikát podepsaný držitelem (Zaškrtnout dole Nastavit jako výchozí certifikát)
#1
#2
#3
Běžný název: zadejte libovolný název certifikátu (ideálně jiný, než defaultní „synology.com“, abyste si certifikát poznali.
#4
Nezapomeňte do posledního řádku vypsat všechna doménová jména oddělená středníkem, která využíváte pro přístup k NASu (ať už z domácí sítě, či z internetu).
Příklad:
nasik;nas
(nasik pro lokální IP adresu, nas pro ve veřejnou IP adresu – obě adresy i doménový název musí být uveden v souboru hosts)
#5
Klikněte na „Konfigurovat“ a nastavte váš nový certifikát jako výchozí pro vámi zvolené služby:
#6 Exportovat certifikát
Naimportovat syno-ca-cert.pem do prohlížeče mezi „Důvěryhodné kořenové certifikační autority“.
Chrome: Nastavení > Ochrana soukromí a zabezpečení > Správa certifikátů > Důvěryhodné kořenové certifikační autority > Importovat > Vyberete z NASu vyexportovaný soubor syno-ca-cert.pem (certifikát není při výběru defaultně vidět – přepněte pole na „Všechny soubory“ a poté certifikát vyberte).
Firefox: Možnosti > Rozšířené > Certifikáty > Autority > Importovat
Restartovat prohlížeč pro přepsání změn!
V prostředí Mac OS je import vygenerovaného certifikátu jednodušší. Stačí dvojklik na syno-ca-cert.pem a nastavit důvěryhodnost na „Vždy důvěřovat“
Certifikát se uloží do Klíčenky.
Do prohlížeče zadejte https://domena:port
Kde „domena“ je vámi zvolené doménové jméno a „port“ je HTTPS port na kterém běží DSM. (Synology má defaultně https port na 5001)
Obnovte stránku v prohlížeči a je to.
Pokud stále nic, zkuste restartovat celý PC.
Pozor, využívání doménového jména místo IP adresy vám bude fungovat jen z toho počítače, kde jste si upravili soubor hosts!
Prosím, prosím právě s tím bez úspěchu zápasím. Synology DS216j, DSM 6.1 – Potřeboval bych podrobný popis, jak vytvořit doménové jméno k NASu ve W10 a dopracovat se k https.
W10 nemám, ale řekl bych, že se návod nebude o moc lišit.
Důležité je, nastavit libovolné doménové jméno NASu do souboru hosts (postup pro W10 https://www.youtube.com/watch?v=wH25txgXlas)
A pak pro stejný název vygenerovat certifikát přes administraci NASu.
Výsledný certifikát pak načíst do prohlížeče.
Tak bohužel se to nepodařilo, stále hlásí Nezabezpečeno a přeškrtnuté https. Jaká doména se musí do nasu doplnit pro certifikát třetí strany ?
Pak zkuste přímo originální návod od Synology a postupovat krok za krokem: https://www.synology.com/cs-cz/knowledgebase/DSM/tutorial/General/How_to_enable_HTTPS_and_create_a_certificate_signing_request_on_your_Synology_NAS
Je tam několik tutoriálů. Všechny jsem odzkoušel a skejslo to na domainname, na doméně. Dokonce jsem si i doménu koupil, ale ohlásí chybu. Na helpdesk Synology jsem psal, ale poslali mně pouze odkaz na jejich tutoriály. Zkoušel jsem i přeinstalovas DSM. Prostě chce to doménu xxxxxx.xx třeba rihav.cz, kterou mám, ale musí mít asi taky nějaký certifikáty. Možná certifikát podepsaný třetí stranou, ale vše se točí okolo domény.
Určitě není potřeba kupovat doménu. Do souboru hosts uveďte IP vašeho NASu a za něj libovolné doménové jméno, např.
192.168.0.2 rihav
Doménový název „rihav“ poté uveďte i při generování certifikátu, stejně jako jsem já volil doménové jméno „nasik“.
Po vygenerování certifikátu a nahrání do prohlížeče poté zadejte do adresního řádku prohlížeče:
https://rihav:5001
Měl byste uvést i port pro HTTPS, defaultně jej má Synology na 5001, případně jiný, pokud jste ho změnil.
Bohužel to nefachá. Napíšu do prohlížeče rivldata a jsem v NASu, ale při vyplňování certifikátu to hlásí chybu. Dal bych sem scan, ale nedaří se mně ho přetáhnout. Všechno se točí okolo tý podělaný domény.
Prosil by som o presný popis ip adries či ide o adresu kde sa nachádza pristupujúci PC na internete alebo synology stanice
a aké mená a či nie náhodou celé http://www.xxxxxxx.sk sa tam nepíše a ak áno tak kde a ako presne
slovo nasík sa nachádza na viacerých miestach a nie vždy je jasé či je len názvom alebo sa použije pre prístup. kam sa má naimportovať certifikát napríklad pre operu a pre IE a atď.
Ďakujem bojujem s tým aj ja
Na základě častých dotazů jsem se rozhodl článek aktualizovat, neboť proces vytvoření certifikátu se v původní verzi DSM 5.2 trošku lišil od současné verze DSM 6.1.
Přeinstaloval jsem celý NAS od základu a výše popsaný postup mi fungoval jak na MacOS, tak v prostředí Windows.
Dejte mi v komentářích vědět, jestli funguje i vám.
Ahoj, po importu certifikátu na počítač mi pomohl restrt celého počítače a už se web hlásí jako Zapezpečeno.
Díky za tip, doplnil jsem do článku.
ahoj, vo firefoxe to ide podla navodu ale ked nahodim certifikat do opery tak sa stale zobrazuje nedoveryhodna stranka. Nemalo by to fungovat aj v opere ?
S operou bohužel nemám zkušenosti, ale určitě to tam mělo fungovat taky.
Díky za návod, běží to i na opeře 🙂