解决群晖重启后默认证书自动改变的问题

By | 2018年8月8日

在控制面板的安全性选项中,群晖提供了上传 SSL 证书的功能,以便于使用者通过互联网安全的访问 NAS。不过 reizhi 在使用中却发现,无论是替换自带的自签名证书,还是完全删除,在重启 NAS 后都会出现默认证书变为自签证书的问题。这样一来,访问时便会出现不信任的提示以及红色的 HTTPS 标识。

不过在网络上却并没能搜索到相关问题的报告和解决方案,于是 reizhi 决定自己研究解决。在控制面板几经尝试都没能成功后,最终通过更改文件权限解决了默认证书的问题,在此作为记录。

首先我们需要进入控制面板-终端机和 SNMP ,打开 SSH 功能以便后续操作。随后打开套件中心,点击设置,添加社区源:

http://packages.synocommunity.com/

此时套件中心会出现社群标签,搜索并安装:Easy Bootstrap Installer,安装完成后重启 NAS。此时我们的 NAS 便成为了一台完整的 Linux 服务器,可以通过 ipkg install 来自由安装软件包了。而 iPKGui 主要是为 ipkg 提供了 GUI 图形界面,非必须安装。

最后我们通过 putty 或 xshell 等 ssh 软件登录 NAS ,帐号密码与网页端相同。登录成功后执行:sudo -i 并再次输入密码,切换到 root 权限。

在确保当前默认证书正确的情况下,执行:

ipkg install e2fsprogs

等待安装完成,再依次执行:

  • cd /usr/syno/etc/certificate/system/default
  • chattr +i fullchain.pem
  • chattr +i privkey.pem

由于未知的原因,群晖在关机重启后,会重置 fullchain.pem 以及 privkey.pem 两个证书文件为自签证书,导致 SSL 无法验证。通过这三行命令,便可以将证书文件锁定,防止系统更改。

至此,再重启 NAS ,也不会发生默认证书变为自签证书的问题了。不过如果日后需要更新或删除证书,请先运行以下命令解除文件锁定:

  • cd /usr/syno/etc/certificate/system/default
  • chattr -i fullchain.pem
  • chattr -i privkey.pem

19 thoughts on “解决群晖重启后默认证书自动改变的问题

  1. yunnl

    请教一下,ipkg的源不能访问了,还有没有能够替代的啊?

    回复
    1. reizhi 博主

      这个是群晖的社区源,可以访问的。如果访问有困难建议路由器科学上网

      回复
      1. yunnl

        我在putty里看到的源地址是这个 http://ipkg.nslu2-linux.org/

        提取到Chrome里开全局科学上网,油管谷歌都可以正常访问,但这个就是打不开……

        能帮我看看这个网站在您那里能正常访问么?或者是有什么其他的源呢?tks~

        回复
          1. yunnl

            好吧~那我只能静静等候了……
            这证书问题都快把我搞疯了……

            您有没有用过drive套件呢?我发现更换证书以后出现了重启重置默认证书的问题,drive也不能正常使用ssl同步了,选择ssl选项,无论是域名还是qc连接,都提示连接失败。只能用普通协议同步文件。

        1. reizhi 博主

          这会社区源添加,安装都是正常的,建议你试试。如果还不行可以网上搜一下群晖安装ipkg的方法,不一定非要用easy bootstrap installer。我记得是有一键的。

          回复
    2. reizhi 博主

      评论最多嵌套三次,所以在这回复了。drive确实会有这个问题,所以我卸载了。

      回复
      1. yunnl

        好吧……这波解释我佩服得五体投地……那您现在用什么软件同步资料呢?

        回复
        1. reizhi 博主

          我其实……不太有同步的需求,主要是存储和photo station。

          回复
    3. reizhi 博主

      装好ipkg之后直接ipkg install e2fsprogs就可以了,这个不依赖源的

      回复
        1. reizhi 博主

          我的源正是这个,这个域名8-18到期,可能忘记续费了

          回复
  2. yunnl

    这莫名其妙的问题实在是逼得我没办法了……
    Google看了一夜都没找到针对解决的办法……
    实在是快被逼疯了,看了个自动更新证书的帖子突发奇想,突发奇想……

    http://ww1.sinaimg.cn/large/7ffc4d9fgy1fum9gsbj6bj20oa02vq3c.jpg

    添加到任务计划里开机运行,实测能解决问题~研究下自动更新的话就不用去理会证书更新的问题了,或者直接添加到Linux内置的任务计划里那是更好的啦~

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注