解决群晖重启后默认证书自动改变的问题

在控制面板的安全性选项中，群晖提供了上传 SSL 证书的功能，以便于使用者通过互联网安全的访问 NAS。不过 reizhi 在使用中却发现，无论是替换自带的自签名证书，还是完全删除，在重启 NAS 后都会出现默认证书变为自签证书的问题。这样一来，访问时便会出现不信任的提示以及红色的 HTTPS 标识。不过在网络上却并没能搜索到相关问题的报告和解决方案，于是 reizhi 决定自己研究解决。在控制面板几经尝试都没能成功后，最终通过更改文件权限解决了默认证书的问题，在此作为记录。首先我们需要进入控制面板-终端机和 SNMP ，打开 SSH 功能以便后续操作。随后打开套件中心，点击设置，添加社区源：

http://packages.synocommunity.com/

此时套件中心会出现社群标签，搜索并安装：Easy Bootstrap Installer，安装完成后重启 NAS。此时我们的 NAS 便成为了一台完整的 Linux 服务器，可以通过 ipkg install 来自由安装软件包了。而 iPKGui 主要是为 ipkg 提供了 GUI 图形界面，非必须安装。最后我们通过 putty 或 xshell 等 ssh 软件登录 NAS ，帐号密码与网页端相同。登录成功后执行：sudo -i 并再次输入密码，切换到 root 权限。在确保当前默认证书正确的情况下，执行：

ipkg install e2fsprogs

等待安装完成，再依次执行：

cd /usr/syno/etc/certificate/system/default
chattr +i fullchain.pem
chattr +i privkey.pem

由于未知的原因，群晖在关机重启后，会重置 fullchain.pem 以及 privkey.pem 两个证书文件为自签证书，导致 SSL 无法验证。通过这三行命令，便可以将证书文件锁定，防止系统更改。至此，再重启 NAS ，也不会发生默认证书变为自签证书的问题了。不过如果日后需要更新或删除证书，请先运行以下命令解除文件锁定：

cd /usr/syno/etc/certificate/system/default
chattr -i fullchain.pem
chattr -i privkey.pem

32 thoughts on “解决群晖重启后默认证书自动改变的问题”

yunnl 2018年8月21日

请教一下，ipkg的源不能访问了，还有没有能够替代的啊？

Reply ↓

reizhi Post author2018年8月21日

这个是群晖的社区源，可以访问的。如果访问有困难建议路由器科学上网

Reply ↓
1. yunnl 2018年8月21日
  
  我在putty里看到的源地址是这个 http://ipkg.nslu2-linux.org/
  
  提取到Chrome里开全局科学上网，油管谷歌都可以正常访问，但这个就是打不开……
  
  能帮我看看这个网站在您那里能正常访问么？或者是有什么其他的源呢？tks~
  
  Reply ↓
  1. reizhi Post author2018年8月21日
    
    这会确实打不开，可能在维护吧
    
    Reply ↓
    1. yunnl 2018年8月21日
      
      好吧~那我只能静静等候了……
      这证书问题都快把我搞疯了……
      
      您有没有用过drive套件呢？我发现更换证书以后出现了重启重置默认证书的问题，drive也不能正常使用ssl同步了，选择ssl选项，无论是域名还是qc连接，都提示连接失败。只能用普通协议同步文件。
  2. reizhi Post author2018年8月22日
    
    这会社区源添加，安装都是正常的，建议你试试。如果还不行可以网上搜一下群晖安装ipkg的方法，不一定非要用easy bootstrap installer。我记得是有一键的。
    
    Reply ↓
    1. yunnl 2018年8月22日
      
      能帮我看看您的源是哪个么？我这里还是打不开那个网址。easy bootstrap installer已经安装好了，我也安装了个rdate来校对时间（因为不知道什么原因ntp用不了……），网上找的ipk安装以后依赖包没有他要求的那个版本……
      图床传了张截图
      http://ww1.sinaimg.cn/large/7ffc4d9fgy1fui5bymngoj20i10410t1.jpg
reizhi Post author2018年8月21日

评论最多嵌套三次，所以在这回复了。drive确实会有这个问题，所以我卸载了。

Reply ↓
1. yunnl 2018年8月21日
  
  好吧……这波解释我佩服得五体投地……那您现在用什么软件同步资料呢？
  
  Reply ↓
  1. reizhi Post author2018年8月21日
    
    我其实……不太有同步的需求，主要是存储和photo station。
    
    Reply ↓
    1. yunnl 2018年8月21日
      
      好吧~感谢啦~~~
reizhi Post author2018年8月22日

装好ipkg之后直接ipkg install e2fsprogs就可以了，这个不依赖源的

Reply ↓
1. yunnl 2018年8月22日
  
  直接使用命令他也得去源里更新ipk才能装啊
  
  http://ww1.sinaimg.cn/large/7ffc4d9fgy1fuiiloj2zfj20i10213yi.jpg
  
  Reply ↓
  1. reizhi Post author2018年8月22日
    
    之前我可能误会你意思了，我回去查查
    
    Reply ↓
    1. yunnl 2018年8月22日
      
      非常感谢~
  2. reizhi Post author2018年8月22日
    
    我的源正是这个，这个域名8-18到期，可能忘记续费了
    
    Reply ↓
    1. yunnl 2018年8月23日
      
      这一下就十分尴尬了……

yunnl 2018年8月25日

这莫名其妙的问题实在是逼得我没办法了……
Google看了一夜都没找到针对解决的办法……
实在是快被逼疯了，看了个自动更新证书的帖子突发奇想，突发奇想……

http://ww1.sinaimg.cn/large/7ffc4d9fgy1fum9gsbj6bj20oa02vq3c.jpg

添加到任务计划里开机运行，实测能解决问题~研究下自动更新的话就不用去理会证书更新的问题了，或者直接添加到Linux内置的任务计划里那是更好的啦~

Reply ↓

reizhi Post author2018年8月25日

我觉得海星

Reply ↓

未必然 2019年5月11日

现在有个问题想请教一下，我按照方法添加SSL证书后确实能够正常用https访问，但是用的之后并不是所有的全是https跳转，如实就想着还是用http方便一点，在我删除群晖里面我自己申请的SLL证书并取消所有群晖的http访问自动跳转https后群晖无法用外网登录，所有的http跳转还是自动跳转https,在万般无奈之下全新安装了群晖并保持安装默认设置，现在依然是强制跳转https,折腾一个晚上查找资料，发现全部都是部署SSL类文章，取消的完全没有，所以到你这边请教，望解答。

Reply ↓

reizhi Post author2019年5月12日

在控制面板-网络-DSM设置里有强制跳转的选项，关闭即可

Reply ↓
1. 未必然 2019年5月12日
  
  已经取消，却还是自动跳转，最后删除Chrome默认跳转和清空IE的SSL证书缓存后恢复正常
  
  Reply ↓
  1. reizhi Post author2019年5月12日
    
    好的，感谢你的经验
    
    Reply ↓

Erssan 2019年8月20日

麻烦请教一个问题，我在dsm设置了http强制跳转https，现在导致无法打开dsm页面了，包括使用IP和域名都无法访问，但是其他的服务还都正常，有一个泛域名证书。这种情况还有救吗

Reply ↓

reizhi Post author2019年8月20日

dsm的Nginx配置文件在/etc/nginx/nginx.conf，可以通过ssh登入之后编辑修改

Reply ↓
1. Erssan 2019年8月22日
  
  感谢答复，已经解决了！
  
  Reply ↓

hangaj 2019年9月26日

之前把群晖自带的证书删除了，添加的阿里证书的，结果配置是空的，这个有办法解决吗，请教下

Reply ↓

reizhi Post author2019年9月26日

新增-创建自签署证书就可以恢复默认证书了

Reply ↓
wang 2020年3月13日

再找个群晖进入/usr/syno/etc/certificate/_archive把里边的文件全部复制进问题群晖，再设置完美解决。不要问我怎么知道的，弄了好长时间才解决的

Reply ↓
1. iaoky 2023年4月5日
  
  老哥我也遇到这个问题了，能不能吧文件发我下
  
  Reply ↓