当前位置：首页 > news >正文

群晖NAS如何在内网部署HTTPS服务让浏览器信任证书

news 2025/9/16 6:09:30

前言

最近在折腾内部部署Web服务。通过Vue实现一个H5的内部的管理服务。但在实际部署过程中由于种种原因，必须部署成Https服务。但在部署成Https服务后，由于没有HTTPS证书，每次进入页面都会被浏览器拦截。使用起来非常不便。于是开始各种Google折腾，终于实现了在导入证书的基础上部署HTTPS服务。接下来，和大家一起分享下整个部署过程。

前置条件

由于HTTPS证书必须和域名关联，所以我们必须有一个公网域名。具体大家就根据在各大域名运营商购买即可。
PS：公网域名仅仅是用于申请HTTPS证书。并不是说咱们的服务要部署到公网。

大致流程

购买公网域名。
在域名服务提供商申请免费的HTTPS证书。自己玩玩就没有必要买商业证书了。
在群晖上部署服务，通过WebStation部署。通过域名对外提供服务。
通过群晖的DNS将域名解析到群晖服务上。这样内网访问域名的时候才能够被解析
将群晖的DNS配置到路由器，作为其默认路由。实现内网域名解析。
将HTTPS域名证书导入到群晖证书管理中。

详细流程

域名准备

首先需要有个公网域名。如果没有，则去域名服务上购买吧。随便买一个普通的也很便宜。
因为HTTPS证书需要和域名绑定，且只能和公网域名绑定。所以公网域名是必须的。
这里咱们假设公网域名为：abc.com。后续都用这个域名讲解，方便大家理解。

HTTPS证书申请

拥有了公网域名之后。则需要到域名服务商申请相应的HTTPS证书。前面也说过了，证书就使用免费的得了。当然如果有商用证书肯定更好。因为免费证书都只有1年的有效期。过期之后需要重新申请证书，并重新导入群晖。
不同的域名服务商申请免费证书的方式不太相同，但大概都是在证书购买的位置去申请。具体大家可以根据自己不同的服务商（百度、阿里、腾讯等），自己搜索下如何免费或证书即可。
PS：在申请证书的时候，咱们需要基于咱们购买域名的子域名去申请，如果直接用二级域名申请证书，那后续域名就不能用作其他用处。所以这里我们使用子域名qunhui.abc.com去申请。
证书申请成功之后，将证书下载下来，待后续使用。

服务部署

在群晖上部署服务时，咱们有两种方式。如果是纯前端资源咱通过WebStation使用apache部署即可。如果是后端服务则需要通过tomcat等容器部署。
由于本文重点讲解HTTPS访问这一块，所以不会具体讲解如何部署。具体部署方式当家搜索下即可。

使用WebStation部署前端资源

通过WebStation部署的时候，咱们直接选择通过name对外提供服务。此处的name咱们填写二级域名qunhui.abc.com即可。
注意协议一定要开启HTTPS（至少要包含有HTTPS）。
在这里插入图片描述

使用Tomcat等容器部署服务

通过tomcat等容器部署都只能对外基于ip和端口提供服务。但我们需要通过域名对外提供服务。所以部署完成之后，我们需要在群晖的反向代理中进行配置。将域名映射到容器对应的端口上。具体操作如下：
图中来源的域名填写咱们的qunhui.abc.com(图中写错了，难得重新截图了)。协议一定要选择HTTPS。
目的地中的协议根据咱们后端tomcat的协议选择即可。通常都是HTTP。主机名则对应tomcat的主机名IP和端口。
在这里插入图片描述

在DNS配置解析

部署和域名访问都配置完成后，我们需要在群晖的DNS上配置上对应域名解析规则。即实现通过该DNS解析，当我们访问域名的时候，能解析到咱们群晖的IP地址上。具体配置如下：
PS：在配置群晖部署的DNS时，记得配置默认的DNS地址，即群晖DNS解析不了的域名就需要走该默认DNS进行解析。这个地址通常是运营商默认提供的地址（查看路由器上的配置即可），或者使用公用的DNS：114.114.114.114。
默认配置如下图：其中转发器中就是咱们路由上默认的DNS。
在这里插入图片描述
下图是配置qunhui.abc.com域名解析的方式。在DNS的区域中新增一个源记录做如下配置即可。其中IP就是NAS的IP。

修改路由器的DNS

咱们配置完成DNS解析后，接下来就需要解决在访问的时候网络如何找到我们群晖上部署的DNS的问题。我们只需要将路由器中的DNS修改为群晖的DNS即可。通常路由器配置界面如下。直接修改为群晖的IP地址即可。
如下图在路由的LAN设置下的DHCP服务中修改。将原来的DNS地址（已经配置到群晖DNS Server的转发中了）修改为咱们的群晖地址即可（图中的首选DNS服务器）。
在这里插入图片描述

HTTPS证书导入

所有都完成后，我们访问域名应该就能正常访问咱们部署的服务。但是还是会提示HTTPS证书不安全。因为咱们上面的证书还没有导入到群晖呢。接下来我们需要将商家下载的证书导入到群晖的证书管理中。
导入完成后，需要选择哪些服务需要使用咱们的新证书。因为默认还是使用群晖的自签证书。
完成之后，咱们再次访问服务将不会再提示证书问题。
如下图，选择点击新增然后，弹出框选择新增证书，然后选择导入证书会进入如下界面。
将自己上面下载的证书解压出来导入即可。其中私钥是以key结尾的文件，证书是为cert结尾的文件。中间证书可以不填。
在这里插入图片描述
证书导入正常之后，咱们在点击选择刚刚导入的证书，然后选择设置按钮会弹出如下界面。
在界面中的服务一列选择咱们之前的配置的业务域名（即qunhui.abc.com）。右边证书列选择咱们刚刚导入的证书即可。
在这里插入图片描述
到此咱们就完成了HTTPS在内网的部署。此时当你在内网访问https://qunhui.abc.com下的服务时，浏览器就会显示一把锁，标识证书有效。从此再也不会弹出证书不合法的页面了。

后续

最后咱们还需要注意如下几点：

免费证书只有一年有效期，一年到期后需要重新申请申请并导入。
咱们的域名下所有的子域名都可以通过这种方式在内网提供HTTPS服务。
在群晖DNS上一定要记得配置啊。。。。。

惯例

如果你喜欢本文或觉得本文对你有所帮助，欢迎一键三连支持，非常感谢。
如果你对本文有任何疑问或者高见，欢迎添加公众号lifeofcoder共同交流探讨（添加公众号可以获得楼主最新博文推送以及”Java高级架构“上10G视频和图文资料哦）。

前言