解决群晖重启后默认证书自动改变的问题

By | 2018年8月8日
在控制面板的安全性选项中,群晖提供了上传 SSL 证书的功能,以便于使用者通过互联网安全的访问 NAS。不过 reizhi 在使用中却发现,无论是替换自带的自签名证书,还是完全删除,在重启 NAS 后都会出现默认证书变为自签证书的问题。这样一来,访问时便会出现不信任的提示以及红色的 HTTPS 标识。 不过在网络上却并没能搜索到相关问题的报告和解决方案,于是 reizhi 决定自己研究解决。在控制面板几经尝试都没能成功后,最终通过更改文件权限解决了默认证书的问题,在此作为记录。 首先我们需要进入控制面板-终端机和 SNMP ,打开 SSH 功能以便后续操作。随后打开套件中心,点击设置,添加社区源:
http://packages.synocommunity.com/
此时套件中心会出现社群标签,搜索并安装:Easy Bootstrap Installer,安装完成后重启 NAS。此时我们的 NAS 便成为了一台完整的 Linux 服务器,可以通过 ipkg install 来自由安装软件包了。而 iPKGui 主要是为 ipkg 提供了 GUI 图形界面,非必须安装。 最后我们通过 putty 或 xshell 等 ssh 软件登录 NAS ,帐号密码与网页端相同。登录成功后执行:sudo -i 并再次输入密码,切换到 root 权限。 在确保当前默认证书正确的情况下,执行:
ipkg install e2fsprogs
等待安装完成,再依次执行:
  • cd /usr/syno/etc/certificate/system/default
  • chattr +i fullchain.pem
  • chattr +i privkey.pem
由于未知的原因,群晖在关机重启后,会重置 fullchain.pem 以及 privkey.pem 两个证书文件为自签证书,导致 SSL 无法验证。通过这三行命令,便可以将证书文件锁定,防止系统更改。 至此,再重启 NAS ,也不会发生默认证书变为自签证书的问题了。不过如果日后需要更新或删除证书,请先运行以下命令解除文件锁定:
  • cd /usr/syno/etc/certificate/system/default
  • chattr -i fullchain.pem
  • chattr -i privkey.pem

29 thoughts on “解决群晖重启后默认证书自动改变的问题

  1. yunnl

    请教一下,ipkg的源不能访问了,还有没有能够替代的啊?

    Reply
    1. reizhi Post author

      这个是群晖的社区源,可以访问的。如果访问有困难建议路由器科学上网

      Reply
      1. yunnl

        我在putty里看到的源地址是这个 http://ipkg.nslu2-linux.org/

        提取到Chrome里开全局科学上网,油管谷歌都可以正常访问,但这个就是打不开……

        能帮我看看这个网站在您那里能正常访问么?或者是有什么其他的源呢?tks~

        Reply
          1. yunnl

            好吧~那我只能静静等候了……
            这证书问题都快把我搞疯了……

            您有没有用过drive套件呢?我发现更换证书以后出现了重启重置默认证书的问题,drive也不能正常使用ssl同步了,选择ssl选项,无论是域名还是qc连接,都提示连接失败。只能用普通协议同步文件。

        1. reizhi Post author

          这会社区源添加,安装都是正常的,建议你试试。如果还不行可以网上搜一下群晖安装ipkg的方法,不一定非要用easy bootstrap installer。我记得是有一键的。

          Reply
    2. reizhi Post author

      评论最多嵌套三次,所以在这回复了。drive确实会有这个问题,所以我卸载了。

      Reply
      1. yunnl

        好吧……这波解释我佩服得五体投地……那您现在用什么软件同步资料呢?

        Reply
        1. reizhi Post author

          我其实……不太有同步的需求,主要是存储和photo station。

          Reply
    3. reizhi Post author

      装好ipkg之后直接ipkg install e2fsprogs就可以了,这个不依赖源的

      Reply
        1. reizhi Post author

          我的源正是这个,这个域名8-18到期,可能忘记续费了

          Reply
  2. yunnl

    这莫名其妙的问题实在是逼得我没办法了……
    Google看了一夜都没找到针对解决的办法……
    实在是快被逼疯了,看了个自动更新证书的帖子突发奇想,突发奇想……

    http://ww1.sinaimg.cn/large/7ffc4d9fgy1fum9gsbj6bj20oa02vq3c.jpg

    添加到任务计划里开机运行,实测能解决问题~研究下自动更新的话就不用去理会证书更新的问题了,或者直接添加到Linux内置的任务计划里那是更好的啦~

    Reply
  3. 未必然

    现在有个问题想请教一下,我按照方法添加SSL证书后确实能够正常用https访问,但是用的之后并不是所有的全是https跳转,如实就想着还是用http方便一点,在我删除群晖里面我自己申请的SLL证书并取消所有群晖的http访问自动跳转https后群晖无法用外网登录,所有的http跳转还是自动跳转https,在万般无奈之下全新安装了群晖并保持安装默认设置,现在依然是强制跳转https,折腾一个晚上查找资料,发现全部都是部署SSL类文章,取消的完全没有,所以到你这边请教,望解答。

    Reply
    1. reizhi Post author

      在控制面板-网络-DSM设置里有强制跳转的选项,关闭即可

      Reply
      1. 未必然

        已经取消,却还是自动跳转,最后删除Chrome默认跳转和清空IE的SSL证书缓存后恢复正常

        Reply
  4. Erssan

    麻烦请教一个问题,我在dsm设置了http强制跳转https,现在导致无法打开dsm页面了,包括使用IP和域名都无法访问,但是其他的服务还都正常,有一个泛域名证书。这种情况还有救吗

    Reply
    1. reizhi Post author

      dsm的Nginx配置文件在/etc/nginx/nginx.conf,可以通过ssh登入之后编辑修改

      Reply
  5. hangaj

    之前把群晖自带的证书删除了,添加的阿里证书的,结果配置是空的,这个有办法解决吗,请教下

    Reply
    1. reizhi Post author

      新增-创建自签署证书就可以恢复默认证书了

      Reply
    2. wang

      再找个群晖进入/usr/syno/etc/certificate/_archive把里边的文件全部复制进问题群晖,再设置完美解决。不要问我怎么知道的,弄了好长时间才解决的

      Reply

发表评论

电子邮件地址不会被公开。 必填项已用*标注

滑动到最右以进行验证 *

使用虚假或一次性邮箱提交留言将不会获得来自博主的回复