華碩路由器：免費 SSL 證書申請教程（3/3）

貓熊飛飛 2017-05-03

展開全文

本帖最后由 Jack- 于 2017-5-3 01:09 編輯

在開始本教程前，按照慣例我要先做一些科普：

什么是 HTTPS？HTTPS 是一種網(wǎng)絡(luò)安全傳輸協(xié)議。在計算機網(wǎng)絡(luò)上，HTTPS 經(jīng)由超文本傳輸協(xié)議進行通信，但利用 SSL/TLS 來加密數(shù)據(jù)包。[1]，通俗地講，網(wǎng)址鏈接分為兩種：更加安全的 HTTPS，比如 https://www.baidu.com；和不安全的 HTTP http://。訪問 HTTPS 開頭的網(wǎng)址時，您的瀏覽器會與網(wǎng)站協(xié)商加密協(xié)議，然后您網(wǎng)站顯示的任何內(nèi)容都是加密后再解密的，您在網(wǎng)站上的任何操作不會被他人竊?。欢?HTTP 則不會保護您，您所有訪問的信息全部公開暴露在網(wǎng)絡(luò)中，這包括您輸入的密碼。您可以想象一下如果用 HTTP 登錄 AiCloud（個人云），任何人都能知道您的路由器登錄密碼，是不是非?？膳?？

為什么要用 HTTPS？為了安全，HTTPS 會加密訪問網(wǎng)站的所有信息，包括您的密碼，甚至微不足道的圖片。所有信息都能確保來自該網(wǎng)站，而不會被中間人植入釣魚信息，或者被黑客竊取您輸入的密碼。

我怎么知道我瀏覽的網(wǎng)頁是不是 HTTPS？如果您通過 HTTPS 訪問，在瀏覽器地址欄旁邊通常會有 “鎖” 符號，或者顯示為 “安全”、“已加密”。

為什么華碩路由器開啟 HTTPS 還會彈出不安全的警告？HTTPS 必須擁有一個證書，而證書必須來自具有公信力的證書頒發(fā)機構(gòu)。但是路由器中的證書不是由正規(guī)機構(gòu)頒發(fā)的，而是路由器自行簽發(fā)的，所以會彈出警告信息。不過通過這篇教程我將教您如何在正規(guī)機構(gòu)申請免費合法的 HTTPS 證書。

什么是證書？證書就是一個證明，證明這個網(wǎng)站的真實性、證明您與網(wǎng)站通信沒有被竊聽，路由器自行簽發(fā)的證書不被系統(tǒng)或瀏覽器信任，所以我們需要申請一個合法的證書。

路由器有了合法的證書有什么好處？您通過 DDNS 域名登錄 AiCloud，瀏覽器再也不會提示您不安全。

總結(jié)：HTTPS 讓數(shù)據(jù)傳輸更加安全，而合法的證書能夠使 HTTPS 被瀏覽器信任，被瀏覽器信任后才能無障礙地使用 HTTPS。
這篇教程主要是教您為您的頂級域名 DDNS 申請 HTTPS 證書，以 AiCloud 作為示例。在開始教程前，您需要知道：按照教程設(shè)置證書后，瀏覽器通過 DDNS 訪問 AiCloud 將不會再警告不受信任、不安全。此教程也適用于遠程設(shè)置路由器（但是我非常不推薦您遠程設(shè)置路由器，開啟該功能將給您帶來無盡的安全隱患）。此教程配置完成后，并不直接適用于任何基于端口轉(zhuǎn)發(fā)的服務(wù)，例如 NAS，您必須將申請到的證書單獨配置到該服務(wù)之上。

一、申請證書
我們此次申請的證書來自 Let's Encrypt 的免費證書，每三個月需要續(xù)期一次。申請方法在官網(wǎng)有許多種，我們使用瀏覽器來申請。

1、打開 https://www./ （這是 Let's Encrypt 指定的四種瀏覽器申請方法之一，也是最簡單的方法），填入您上一篇教程申請的頂級域名 DDNS（比如我的 router.routerexample.cf），然后點擊 [ Create Free SSL Certificate（創(chuàng)建免費 SSL 證書）]

2、接下來要驗證該域名是否是您擁有的。前兩種驗證不適合沒有 80 端口的朋友，因此我們選擇第三種 [ Manual Verification (DNS)（DNS 驗證）]

3、接下來點擊 [ Manually Verify Domain（手動驗證域名）]

4、新建一個瀏覽器窗口，打開 https://dns./ 并且登錄，點擊編輯

符號，配置您的域名。

5、新建 TXT 記錄。

6、回到剛才申請證書的窗口，復(fù)制填入加粗的信息，TTL 選擇 [ 5 minutes (300)（5 分鐘）]

填入完成后如下圖所示，點擊 [ Submit（提交）]

7、然后點擊申請證書頁面下方的 [ Download SSL Certificate（下載 SSL 證書）]

（如果卡在這一步，就多等一會兒，或者檢查上面幾步信息有沒有填錯，國內(nèi)網(wǎng)絡(luò)不好確實也會卡在這里）

8、注冊一個通知賬號。填寫郵箱和密碼，點擊 [ Create Account（創(chuàng)建賬號）] ，這樣在證書快到期前一周可以收到提醒郵件，以便及時續(xù)簽。（也可以略過此步驟）

9、點擊 [ Download All SSL Certificate Files（下載全部 SSL 證書文件）]。緊接著會得到一個 sslforfree.zip 文件，里面包含了私鑰（Private Key）、證書文件（Certificate）以及我們用不到的證書鏈（CA Bundle）。

到此，證書申請就結(jié)束了。切記，私鑰千萬不可以被別人得到，別上傳網(wǎng)盤，以免泄露，造成重大安全風險。

二、在路由器中配置證書

1、打開 AiCloud 功能，前往路由器設(shè)置頁面 [ 一般設(shè)置 ] — [ AiCloud 2.0 個人云 2.0 應(yīng)用 ] — 開啟 [ 云端硬盤 ]

（建議修改 [ AiCloud 2.0 ] — [ 設(shè)置 ] — [ AiCloud 網(wǎng)絡(luò)訪問端口 ]，默認 443 端口在公網(wǎng)上非常不安全！建議輸入端口范圍：2000 ~ 32000。）

2、用路由器管理員賬號登錄 AiCloud。點擊左下角 [ 設(shè)定 ] — [ 證書 ] — [ 匯入證書 ]

3、解壓 sslforfree.zip 文件，private.key 為私鑰，certificate.crt 為證書（ca_bundle.crt 沒有用），然后上傳，最后點擊 [ 匯入證書 ]

4、重啟路由器。

到此就全部完成了！趕快打開您的 https://DDNS:端口號看看還會不會彈出警告！

請注意：只有通過頂級域名 DDNS 訪問路由器的 AiCloud 才有效，192.168.1.1 或者 router.asus.com 是無效的，因為前者是 IP 無法申請證書，后者域名所有者不是您。請妥善保管好私鑰文件，如果其他服務(wù)需要證書，例如 NAS，請在 NAS 的設(shè)置中上傳該證書私鑰，方法不再詳述。
最后提醒您，暴露在公網(wǎng)下的任何端口都會為您帶來風險，沒有必要千萬不要打開。如果您用不到 AiCloud、用不到遠程訪問路由器，就請關(guān)閉這些功能。在計算機安全領(lǐng)域有句老話 “沒有絕對的安全”，關(guān)閉這些沒有用的功能能為您減少很多安全隱患。

提升 AiCloud 外網(wǎng)訪問安全性的番外篇
提升安全性的方法很簡單

一、關(guān)閉 [ 從互聯(lián)網(wǎng)設(shè)置路由器 ]
二、使用非管理員賬號登錄 AiCloud。

第一步，默認情況下是關(guān)閉的，不建議您開啟，關(guān)閉請前往路由器的 [ 高級設(shè)置 ] — [ 系統(tǒng)管理 ] -— [ 系統(tǒng)設(shè)置 ] — [ 從互聯(lián)網(wǎng)設(shè)置 ]
第二步，首先創(chuàng)建一個非管理員賬號，前往路由器的 [ 一般設(shè)置 ] — [ USB 相關(guān)應(yīng)用 ] — [ 服務(wù)器中心 ] — [ 網(wǎng)絡(luò)共享（Samba）] 點擊 + 符號新增賬號。然后設(shè)置下訪問權(quán)限。

這個賬號可以用來登錄 AiCloud，且權(quán)限極低，最重要的是不能登錄路由器，適合遠程使用。

到此本系列教程就全部結(jié)束了，您可以點擊以下鏈接回顧前兩篇教程《免費設(shè)置 IPv6 教程》和《使用頂級域名 DDNS 教程》。非常感謝您的觀看，再見！