解决群晖重启后默认证书自动改变的问题

By | 2018年8月8日
在控制面板的安全性选项中,群晖提供了上传 SSL 证书的功能,以便于使用者通过互联网安全的访问 NAS。不过 reizhi 在使用中却发现,无论是替换自带的自签名证书,还是完全删除,在重启 NAS 后都会出现默认证书变为自签证书的问题。这样一来,访问时便会出现不信任的提示以及红色的 HTTPS 标识。 不过在网络上却并没能搜索到相关问题的报告和解决方案,于是 reizhi 决定自己研究解决。在控制面板几经尝试都没能成功后,最终通过更改文件权限解决了默认证书的问题,在此作为记录。 首先我们需要进入控制面板-终端机和 SNMP ,打开 SSH 功能以便后续操作。随后打开套件中心,点击设置,添加社区源:
http://packages.synocommunity.com/
此时套件中心会出现社群标签,搜索并安装:Easy Bootstrap Installer,安装完成后重启 NAS。此时我们的 NAS 便成为了一台完整的 Linux 服务器,可以通过 ipkg install 来自由安装软件包了。而 iPKGui 主要是为 ipkg 提供了 GUI 图形界面,非必须安装。 最后我们通过 putty 或 xshell 等 ssh 软件登录 NAS ,帐号密码与网页端相同。登录成功后执行:sudo -i 并再次输入密码,切换到 root 权限。 在确保当前默认证书正确的情况下,执行:
ipkg install e2fsprogs
等待安装完成,再依次执行:
  • cd /usr/syno/etc/certificate/system/default
  • chattr +i fullchain.pem
  • chattr +i privkey.pem
由于未知的原因,群晖在关机重启后,会重置 fullchain.pem 以及 privkey.pem 两个证书文件为自签证书,导致 SSL 无法验证。通过这三行命令,便可以将证书文件锁定,防止系统更改。 至此,再重启 NAS ,也不会发生默认证书变为自签证书的问题了。不过如果日后需要更新或删除证书,请先运行以下命令解除文件锁定:
  • cd /usr/syno/etc/certificate/system/default
  • chattr -i fullchain.pem
  • chattr -i privkey.pem

23 thoughts on “解决群晖重启后默认证书自动改变的问题

  1. yunnl

    请教一下,ipkg的源不能访问了,还有没有能够替代的啊?

    回复
    1. reizhi 博主

      这个是群晖的社区源,可以访问的。如果访问有困难建议路由器科学上网

      回复
      1. yunnl

        我在putty里看到的源地址是这个 http://ipkg.nslu2-linux.org/

        提取到Chrome里开全局科学上网,油管谷歌都可以正常访问,但这个就是打不开……

        能帮我看看这个网站在您那里能正常访问么?或者是有什么其他的源呢?tks~

        回复
          1. yunnl

            好吧~那我只能静静等候了……
            这证书问题都快把我搞疯了……

            您有没有用过drive套件呢?我发现更换证书以后出现了重启重置默认证书的问题,drive也不能正常使用ssl同步了,选择ssl选项,无论是域名还是qc连接,都提示连接失败。只能用普通协议同步文件。

        1. reizhi 博主

          这会社区源添加,安装都是正常的,建议你试试。如果还不行可以网上搜一下群晖安装ipkg的方法,不一定非要用easy bootstrap installer。我记得是有一键的。

          回复
    2. reizhi 博主

      评论最多嵌套三次,所以在这回复了。drive确实会有这个问题,所以我卸载了。

      回复
      1. yunnl

        好吧……这波解释我佩服得五体投地……那您现在用什么软件同步资料呢?

        回复
        1. reizhi 博主

          我其实……不太有同步的需求,主要是存储和photo station。

          回复
    3. reizhi 博主

      装好ipkg之后直接ipkg install e2fsprogs就可以了,这个不依赖源的

      回复
        1. reizhi 博主

          我的源正是这个,这个域名8-18到期,可能忘记续费了

          回复
  2. yunnl

    这莫名其妙的问题实在是逼得我没办法了……
    Google看了一夜都没找到针对解决的办法……
    实在是快被逼疯了,看了个自动更新证书的帖子突发奇想,突发奇想……

    http://ww1.sinaimg.cn/large/7ffc4d9fgy1fum9gsbj6bj20oa02vq3c.jpg

    添加到任务计划里开机运行,实测能解决问题~研究下自动更新的话就不用去理会证书更新的问题了,或者直接添加到Linux内置的任务计划里那是更好的啦~

    回复
  3. 未必然

    现在有个问题想请教一下,我按照方法添加SSL证书后确实能够正常用https访问,但是用的之后并不是所有的全是https跳转,如实就想着还是用http方便一点,在我删除群晖里面我自己申请的SLL证书并取消所有群晖的http访问自动跳转https后群晖无法用外网登录,所有的http跳转还是自动跳转https,在万般无奈之下全新安装了群晖并保持安装默认设置,现在依然是强制跳转https,折腾一个晚上查找资料,发现全部都是部署SSL类文章,取消的完全没有,所以到你这边请教,望解答。

    回复
    1. reizhi 博主

      在控制面板-网络-DSM设置里有强制跳转的选项,关闭即可

      回复
      1. 未必然

        已经取消,却还是自动跳转,最后删除Chrome默认跳转和清空IE的SSL证书缓存后恢复正常

        回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注