[首发] 华硕路由器：免费 SSL 证书申请教程（3/3）

Jack · 发表于 2017-4-26 15:21:50

本帖最后由 Jack 于 2020-5-1 14:59 编辑

下方内容已经过时故不再维护，若有需求请使用其他代替方案。

微信扫一扫，阅读更方便^_^

Jack · 发表于 2017-4-26 15:44:04

本帖最后由 Jack 于 2017-11-29 06:58 编辑

在开始本教程前，按照惯例我要先做一些科普：
什么是 HTTPS？HTTPS 是一种网络安全传输协议。在计算机网络上，HTTPS 经由超文本传输协议进行通信，但利用 SSL/TLS 来加密数据包。[1]，通俗地讲，网址链接分为两种：更加安全的 HTTPS，比如 https://www.baidu.com；和不安全的 HTTP http://www.52asus.com。访问 HTTPS 开头的网址时，您的浏览器会与网站协商加密协议，然后您网站显示的任何内容都是加密后再解密的，您在网站上的任何操作不会被他人窃取；而 HTTP 则不会保护您，您所有访问的信息全部公开暴露在网络中，这包括您输入的密码。您可以想象一下如果用 HTTP 登录 AiCloud（个人云），任何人都能知道您的路由器登录密码，是不是非常可怕？

为什么要用 HTTPS？为了安全，HTTPS 会加密访问网站的所有信息，包括您的密码，甚至微不足道的图片。所有信息都能确保来自该网站，而不会被中间人植入钓鱼信息，或者被黑客窃取您输入的密码。

我怎么知道我浏览的网页是不是 HTTPS？如果您通过 HTTPS 访问，在浏览器地址栏旁边通常会有 “锁” 符号，或者显示为 “安全”、“已加密”。

为什么华硕路由器开启 HTTPS 还会弹出不安全的警告？HTTPS 必须拥有一个证书，而证书必须来自具有公信力的证书颁发机构。但是路由器中的证书不是由正规机构颁发的，而是路由器自行签发的，所以会弹出警告信息。不过通过这篇教程我将教您如何在正规机构申请免费合法的 HTTPS 证书。

什么是证书？证书就是一个证明，证明这个网站的真实性、证明您与网站通信没有被窃听，路由器自行签发的证书不被系统或浏览器信任，所以我们需要申请一个合法的证书。

路由器有了合法的证书有什么好处？您通过 DDNS 域名登录 AiCloud，浏览器再也不会提示您不安全。

总结：HTTPS 让数据传输更加安全，而合法的证书能够使 HTTPS 被浏览器信任，被浏览器信任后才能无障碍地使用 HTTPS。
这篇教程主要是教您为您的顶级域名 DDNS 申请 HTTPS 证书，以 AiCloud 作为示例。在开始教程前，您需要知道：按照教程设置证书后，浏览器通过 DDNS 访问 AiCloud 将不会再警告不受信任、不安全。此教程也适用于远程设置路由器（但是我非常不推荐您远程设置路由器，开启该功能将给您带来无尽的安全隐患），此教程配置完成后，并不直接适用于任何基于端口转发的服务，例如 NAS，您必须将申请到的证书单独配置到该服务之上。

一、申请证书
我们此次申请的证书来自 Let's Encrypt 的免费证书，每三个月需要续期一次。申请方法在官网有许多种，我们使用浏览器来申请。

1、打开 https://www.sslforfree.com/ （这是 Let's Encrypt 指定的四种浏览器申请方法之一，也是最简单的方法），填入您上一篇教程申请的顶级域名 DDNS（比如我的 router.routerexample.cf），然后点击 [ Create Free SSL Certificate（创建免费 SSL 证书）]

2、接下来要验证该域名是否是您拥有的。前两种验证不适合没有 80 端口的朋友，因此我们选择第三种 [ Manual Verification (DNS)（DNS 验证）]

3、接下来点击 [ Manually Verify Domain（手动验证域名）]

4、新建一个浏览器窗口，打开 https://dns.he.net/ 并且登录，点击编辑

符号，配置您的域名。

5、新建 TXT 记录。

6、回到刚才申请证书的窗口，复制填入加粗的信息，TTL 选择 [ 5 minutes (300)（5 分钟）]。

填入完成后如下图所示，点击 [ Submit（提交）]

7、然后点击申请证书页面下方的 [ Download SSL Certificate（下载 SSL 证书）]

8、注册一个通知帐号。填写邮箱和密码，点击 [ Create Account（创建帐号）] ，这样在证书快到期前一周可以收到提醒邮件，以便及时续签。（也可以略过此步骤）

9、点击 [ Download All SSL Certificate Files（下载全部 SSL 证书文件）]。紧接着会得到一个 sslforfree.zip 文件，里面包含了私钥（Private Key）、证书文件（Certificate）以及我们用不到的证书链（CA Bundle）。

到此，证书申请就结束了。切记，私钥千万不可以被别人得到，别上传网盘，以免泄露，造成重大安全风险。

二、在路由器中配置证书

1、打开 AiCloud 功能，前往路由器设置页面 [ 一般设置 ] — [ AiCloud 2.0 个人云 2.0 应用 ] — 开启 [ 云端硬盘 ]

（建议修改 [ AiCloud 2.0 ] — [ 设置 ] — [ AiCloud 网络访问端口 ]，默认 443 端口在公网上非常不安全！建议输入端口范围：2000 ~ 32000。）

2、用路由器管理员帐号登录 AiCloud。点击左下角 [ 设定 ] — [ 证书 ] — [ 汇入证书 ]

3、解压 sslforfree.zip 文件，private.key 为私钥，certificate.crt 为证书（ca_bundle.crt 没有用），然后上传，最后点击 [ 汇入证书 ]。

4、汇入成功后浏览器会弹出： [ Complete to import certificate, and the page will be refreshed after a few seconds.（证书导入成功，页面将在几秒内自动刷新） ] 。如果弹出其他内容，请重新汇入一次证书。

到此就全部完成了！赶快打开您的 https://DDNS:端口号看看是不是设置成功了！

请注意：只有通过顶级域名 DDNS 访问路由器的 AiCloud 才有效，192.168.1.1 或者 router.asus.com 是无效的，因为前者是 IP 无法申请证书，后者域名所有者不是您。请妥善保管好私钥文件，如果其他服务需要证书，例如 NAS，请在 NAS 的设置中上传该证书私钥，方法不再详述。
最后提醒您，暴露在公网下的任何端口都会为您带来风险，没有必要千万不要打开。如果您用不到 AiCloud、用不到远程访问路由器，就请关闭这些功能。在计算机安全领域有句老话 “没有绝对的安全”，关闭这些没有用的功能能为您减少很多安全隐患。

提升 AiCloud 外网访问安全性的番外篇
提升安全性的方法很简单

一、关闭 [ 从互联网设置路由器 ]
二、使用非管理员帐号登录 AiCloud。

第一步，默认情况下是关闭的，不建议您开启，关闭请前往路由器的 [ 高级设置 ] — [ 系统管理 ] -— [ 系统设置 ] — [ 从互联网设置 ]
第二步，首先创建一个非管理员帐号，前往路由器的 [ 一般设置 ] — [ USB 相关应用 ] — [ 服务器中心 ] — [ 网络共享（Samba）] 点击 + 符号新增帐号。然后设置下访问权限。