於是乎最近我又從pfsense跳槽到ubnt EdgeRouter Lite 3(ERL3)的懷抱裡。
但有件事情一直讓我耿耿於懷!
就是那討厭的安全性警告!這實在礙眼~
好家在現在有了Let's Encrypt佛心來著,可以免費的申請公證過的SSL憑證。
有了這憑證以後,從此登入畫面變這樣...標示著安全,這實在是爽呀~
以下我會帶大家一步一步操作,實在是簡單,一點難度都沒有呀。
以下步驟是依循https://github.com/photinus/ubnt-letsencrypt
[警語:以SSH及管理者帳號登入ERL3可能會造成機器不正常工作,出現無預期錯誤甚至設定損毀]
[準備工作]
你必須有一個固定的網址,FQDN,一般就是長這樣 xxx.yyy.zzz
如果你沒有固定網址,那麼你必須用ddns的服務,ddns只要能夠跟你ERL3的IP對應的起來就好。
要能夠做到這個,方式很多,例如:
1.你可以在ERL3裡面設定ddns的服務,這樣ERL3會自動將自己的IP對應到DDNS。
2.你可以在電腦裡裝DDNS的服務小程式,這樣電腦會將DDNS跟現在的IP對應起來,
反正電腦的IP就是ERL3的IP,所以沒差。
3.如果覺得NAS支援的DDNS比較多,也可以在NAS裡面設定DDNS跟IP的對應...反正家裡所有裝置的IP應該就是ERL3的IP。
[步驟一:設定外界可以存取ERL3的443port]
因為我們要讓Let's Encrypt驗證我們的確擁有這個網址
所以必須讓外界可以連到ERL3的443port。
1.登入後按Firewall的按鈕。
2.在WAN_LOCAL下新增一條規則。
3.新增規則
4.名稱自己打,動作選accept,通訊協定選TCP
5.選目的地,輸入443port號,按下儲存。
6.為了以防萬一,將規則拉到第一順位...
7.記得按下儲存才算數。
[步驟二:以SSH執行憑證申請代理程式]
1.接下來SSH到ERL3,你可以用putty這個小程式。
2.使用具有管理者權限的帳號登入。
3.最後只要輸入這行命令執行,接下來就一直等就對了~其實要等蠻久的喔!
curl https://raw.githubusercontent.com/photinus/ubnt-letsencrypt/master/install.sh | sudo bash /dev/stdin public.dynamic.dns.of.your.router
這個命令會自動下載需要的東西,搞定一切!
完成憑證申請後,只要把剛剛新增外界可以存取ERL3 443的的規則刪掉,這樣就可以安全一些。
退出ERL3,清除瀏覽器快取,關閉瀏覽器重新打開,輸入ERL3的DDNS就可以看到憑證已經自動導入,啟用了!
[常見問題]
1.為什麼登入還是顯示不安全的警示?
可能是因為瀏覽器沒有清除快取,也可能是你是用IP登入ERL3,而非用DDNS登入。
2.憑證有沒有期限?
有的,Let's Encrypt好像是60天還是90天過期。
3.憑證過期前能否自動展延期限?
可以,但是我不會!
4.憑證過期怎麼辦?
我也不知道,但我想就重新申請一次好了...
5.如果有架站,是否要先取消port forward?
要的,不然Let's Encrypt驗證的時候會導到你架的站去。
6.SSH輸入命令列以後,一直出現.....
正常,要有耐心!
7.什麼是DDNS?SSH?
嗯...我想這篇應該不適合你~
