隔壁网

来吧兄弟,一起玩一起讨论!

您需要 登录 才可以下载或查看,没有帐号?注册

x
本帖最后由 zang2016 于 2018-6-21 19:39 编辑

尽管上次的帖子中已经说过怎么用vps搭建frps服务器和设置frpc了。
但文中也说了,还是有瑕疵之处的存在。那就是暂时无法使用https进行连接,这点还有待研究。

那么……现在情况如何呢?往下看就知道了……

依旧经过几个夜晚的通宵达旦,翻看大量资料得以解决。
【题后话:现在想想都觉我的肝在疼(´థ౪థ)σ】

所以这次重新开贴讲一讲frp内网穿透后如何部署ssl证书,进行https的连接

此处使用的是Let's Encrypt泛域名证书,此证书与阿里云、腾讯云所申请之单域名证书有所不同,后者在frp下无法使用!

frp的搭建设置就不在这里重复说明。有需要的请自行点击下方传送门查看。

frp搭建与使用教程 传送门
======================================================================
一、证书
1、准备你所有要申请的域名


点击下方网址申请Let's Encrypt免费SSL证书。
网站连接速度非常慢,建议用加速器打开。我每次连接都是用搭建在vps服务器上的某N连接。
https://www.sslforfree.com/


网页打开后的页面


在中间写入你要申请证书的所有的域名 域名与域名之间 加入空格!
例:1233211234567.vip www.1233211234567.vip tp.1233211234567.vip nas.1233211234567.vip vps.1233211234567.vip

注意,在我反复的申请证书和和导入实验中,光填入1233211234567.vip 等二级域名而获取的证书 是无法导入群辉的!必须带有WWW才可导入。
例:
申请1233211234567.vip证书  
【申请后证书无法导入群晖。】

申请1233211234567.vip www.1233211234567.vip证书
【证书可导入群晖,https连接网址就为此两项,其他域名或二级域名https显示红色不安全】

2、选择域名的验证方式
输入所有要申请的域名后,点击绿色按钮Create Free SSL Certificate 进入下一项
最上面为你所有要申请的域名
域名下方有三个按钮
分别是用来验证域名所有权的三个方法,验证通过后才给予颁发证书。
(1)通过ftp自动验证
(2)上传验证文件手动验证
(3)通过DNS手动验证
这里选择第三个通过DNS手动验证。


3、域名的验证,获取证书
点击Manually Verify Domain后,加载完成的网页为下图


打开的这个网页,就是获取证书中最关键的一步了。即验证域名的所有权。
图中被我框起来的加粗字体就是验证用到的东西了。
前面你填写了多少个域名,这里就会有多少条需要你去验证的记录。
就像图中有11记录 所以我在第一步中填写了11个域名一样。

(1)那么,如何去验证呢

打开阿里云(或其他)给你的域名添加TXT解析。

主机记录填写:_acme-challenge.1233211234567.vip【如果已默认后缀,(阿里云)直接填写_acme-challenge 即可,如上图】
记录值填写:PcogENvfidcMBAXZbmmzOObpfyoRfyc2FM-Y2NEAp3c
这部分东西就是我上图框起来的!

再次重申:有几条记录就要添加几条。例我上图中有11条,所以我就要在阿里云中添加11条TXT记录。而你要添加的条数,跟你之前填写了多少个域名有关。你填写的记录值也一定要对!记录少一条或错一条,证书都不给颁发!

还有就是别傻兮兮的照着我上面打出来的抄!这个是我的域名验证记录。每个人的域名的域名验证记录是不一样的


(2)添加完记录值后,如何验证你添加的解析值,是否正确呢。
看到下图中第三项下面的那些绿色网址了吗?

一个一个的点开。如果打开显示是这样的,则你添加的解析值为正确的。

如果不是上面显示的,则你添加的解析记录是错的,请重新检查记录!否则证书不会被颁发。
PS:检查完后,阿里云的解析记录建议就不要删了,经过我多次的申请试验发现,同一域名的主机值和记录值是不变的。记录不变的好处就是,下次申请域名时就不用再添加了。当然你也可以删除,只要你下次申请证书时,不嫌麻烦在输入一次,我是不介意的,反正留着也没多大影响。另外你要申请ssl的域名最好一次申请完,据说每个域名几个月之内可以申请证书的次数是有限的,具体的我也不太清楚。

(3)取得证书
检查完所有验证后,点击Download SSL Certificate进入下一页面获取证书。这是加载完成后的页面。
中间三个文本框里显示的内容就是你所申请的证书文本内容。
除了文本内容,当然我们也可以将证书打包下载下来,点击图片下方的下载按钮即可下载。


证书的上面有设置证书到期提示的设置(证书过期前一礼拜邮件提醒)
填入邮箱和密码即可设置完成。密码非邮箱密码即可。



PS:根据规则,Let's Encrypt证书的有效期只有三个月,所以三个月后你需要重新申请证书。



二、证书的安装与设置
(1)下载文件解压,解压后有三个文件。我们要做的是将这三个文件导入群晖中。
打开群晖控制面板→安全性→证书→新增安装刚刚申请证书。



最后将我们导入的证书设置为默认证书并修改使用范围。

(2)frpc的修改
依旧使用WinSCP 登录群晖
找到群晖frpc.ini文件,修改配置
将type全部修改为https,local_port修改为https端口,其他不变。

保存。重启frpc套件。
重启方法:套件中心→找到frpc套件→动作停用→动作启用

验证是否https连接成功
(1)登录frps控制面板
面板地址:VPS IP:7500
登录后如果之前http下面的全部都到https下,即表示成功。


(2)设置群晖强制https
群晖控制面板→网络→DSM设置→打勾 【将http连接自动重新导向https】

然后打开你的域名https://yinyue.1233211234567.vip
试一试,看看那个熟悉绿色的小锁子是不是又回来了呢?

你以为到这里就结束了吗,那就大错特错了。

如果你进行到这步,就有可能会发现,浏览器输入有些域名打开后,并没有自动跳转https,浏览器显示依旧是http,之前能打开的页面已经变成了The page you visit not found.
需要手动在http后面加上S才能显示,很是麻烦。


如何解决呢?这就需要你在群晖里另外设置了。

设置方法:控制面板→synology应用程序门户→应用程序→编辑

启用自定义域:输入你设置的域名


然后打开你设置的域名,看看刚才出现的情况是不是已经得到解决了呢。
至此frp部署ssl用https连接的教程已全部结束
PS:HSTS启不启用都是HTTPS连接,不过在这里还是建议打开为好。

=========================================================================
三、给vps宝塔面板部署https
登录宝塔面板:ip:8888
进入面板设置,为面板设置一个二级域名,并在第一步申请证书时添加这个二级域名 同群晖等域名一并申请
申请完成后 打开面板ssl选项 自定义面板证书
复制Private Key内容到秘钥,Certificate内容到证书。
保存重启面板即可。

=========================================================================

虽然nas已经可以部署ssl,https连接了。
但终究还是有些小小遗憾——路由器管理页面依旧无法https
这点各尽尝试后,表示真的无能为力……
不过为了数据安全,通过frpc增加http_user和http_pwd命令【上贴中有专讲】,给(路由器)域名增加一层密码保护,也不失为一种良性的折中解决方案……


如果按照上方进行部署后,http可以连接,但https无法打开网页,请仔细检查vps的443端口是否打开。vps的443端口的打开与否也影响着FRP穿透后的https网页的打开与否。




2

查看全部评分

本帖被以下淘专辑推荐:

分享到 :
56 人收藏

473 个回复

倒序浏览
cheong0hk  魔仙 | 2018-4-25 16:23:08
感谢分享!!!
wjq_xp  亡灵 | 2018-4-25 16:35:45
本帖最后由 wjq_xp 于 2018-4-25 16:37 编辑

阿里云就有免费的证书,有效期1年的,最多可以申请5年。
zang2016  VIP贵宾 | 2018-4-25 17:10:42
wjq_xp 发表于 2018-4-25 16:35
阿里云就有免费的证书,有效期1年的,最多可以申请5年。

知道 然而早试过了 并不能用
gwy2003  高烧40℃ | 2018-4-25 17:18:18
学习下, 谢谢分享
331969102  正常36.8℃ | 2018-4-25 17:27:18 来自手机
感谢分享
aa65224065  高烧40℃ | 2018-4-25 18:31:09
谢谢分享   看看如何处理的
wo861125  高烧40℃ | 2018-4-25 21:48:20
感谢分享!!!
snowman1003 互助团队  VIP贵宾 | 2018-4-25 22:01:02
感谢分享
小摁钉  VIP贵宾 | 2018-4-26 10:30:53
学习一下,谢谢分享
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|隔壁网 ( 粤ICP备14056481号-1 )

Powered by Discuz! X3.3 © 2001-2016 Comsenz Inc.

返回顶部