申請免費SSL認證

這台NAS上的網站是為了給LINE bot使用的network service
但是LINE bot要求的webhook網址必須是https
因此我們必須去申請一個SSL認證



這邊我使用免費的sslforfree服務來申請SSL認證
首先填入想要申請https的網址

接下來選擇Manual Verification

這個選項會要你下載認證用的檔案並放到網站上的特定路徑中，之後SSL for free會存取該網頁位置來確定你的確真的有架設這個網站

點選Manually Verify Domain

依照說明，下載認證用的檔案並且在網站根目錄下建立".well-known"與"acme-challenge"兩層目錄後，將認證檔案放到"acme-challenge"目錄下

 在繼續下一步之前，先點選Step5的網址確定SSL for free能存取到我們放上去的認證用檔案

Oops!竟然會出現404找不到頁面。檢查過路徑與網址也都正確，為什麼會找不到檔案呢?
因為DSM中的web station沒有提供任何可供參考的資訊，
因此只能放大絕招 → 直接ssh遠端連線進NAS找log

首先先開啟NAS的SSH功能
DSM中點選控制台 → 終端機&SNMP → 啟用SSH功能
這裡考量到安全性，建議將SSH預設的22連接阜改掉















之後使用SSH軟體(如Putty等)就可以遠端連線到NAS裡面去了

登入時必須使用管理者群組的帳號才能夠ssh，密碼就跟登入DSM的一樣
登入後帳號的權限還是不太夠，這時候輸入

sudo -i                                                                                    

來將帳號提升為root權限，再輸入一次該帳號的密碼

此時可以開始找web station的log了
log是在/var/log/nginx/裡面
因此我們輸入下面兩行來看log

cd /var/log/nginx/                                                                   
tail error.log                                                                           

從log中間我們可以看到這樣的訊息

2017/01/03 22:36:54 [error] 29074#29074: *53904 open() "/var/lib/letsencrypt/.well-known/acme-challenge/4lzLK6f2KuCx7L-1wOQq_d8b57Ab3KtpYps0uyX2iII" failed (2: No such file or directory), client: 111.248.116.180, server: infobot.ddns.net, request: "GET /.well-known/acme-challenge/4lzLK6f2KuCx7L-1wOQq_d8b57Ab3KtpYps0uyX2iII HTTP/1.1", host: "infobot.ddns.net"

網站試圖從"/var/lib/letsencrypt/.well-known/acme-challenge/"下去找檔案而非我們原先認為的"/volume1/web/sslServer/.well-known/acme-challenge/"
*註：原本的/web/是一個共享資料夾，其對應到NAS中的實體路徑是/volume1/web/


從log中我們發現很奇妙的一個事實，網站尋找認證檔案的路徑並非我們原先所想的路徑。
想來想去只有可能是網站伺服器nginx動了某些手腳。
現在我們去看看nginx的設定檔
nginx的設定檔路徑是 /etc/nginx/nginx.config
輸入以下指令來查看設定檔內容：

cd /etc/nginx/                                                                                                        
cat nginx.config                                                                                                    

 設定檔的內容很多，有些是關於DSM服務的。不過我們可以在設定檔尾端看到以下的設定：

 location ^~ /.well-known/acme-challenge {                                                    
            root /var/lib/letsencrypt;                                                                         
            default_type text/plain;                                                                          
        }                                                                                                                      

 的確在設定檔中有設定如果網址是"/.well-known/acme-challenge"的話就會改成找/var/lib/letsencrypt/下的路徑

現在真相大白了，凶手也抓出來了，那麼我們要怎麼解決遇到的問題呢？
目前的問題是當要存取"/volume1/web/sslServer/.well-known/acme-challenge/"時會被轉去存取"/var/lib/letsencrypt/.well-known/acme-challenge/"
如果可以讓網站存取"/var/lib/letsencrypt/.well-known/acme-challenge/"時如同存取"/volume1/web/sslServer/.well-known/acme-challenge/"的內容，那問題不就解決了嗎？

這時候我們可以使用linux的指令ln來達成我們的目的
首先先創建目錄letsencrypt

mkdir /var/lib/letsencrypt/                                    

 建立檔案連結

ln -s /volume1/web/sslServer/.well-known/ /var/lib/letsencrypt/.well-known               

 此時查看.well-known資訊

ll /var/lib/letsencrypt/                                              

這時就會顯示.well-known是連向"/volume1/web/sslServer/.well-known/"

.well-known -> /volume1/web/sslServer/.well-known/                                                      

至此問題應該都解決了，回到前面申請SSL的步驟。
此時點選steps 5的網址應該能正常開啟檔案

能正常開啟檔案後，繼續申請SSL的步驟，點選最下面的Download SSL Certificate
(註：如果你是跟著步驟一步一步做到這裡，此時產生SSL Cert時可能會顯示錯誤。這是因為驗證檔案從產生到開始驗證中間隔太久的關係。此時只要回到前面的步驟重新讓SSL for free產生一份新的認證用檔案即可)

正常產生出SSL cert之後，因為這個SSL cert只有90天的有效期限。
你可以註冊SSL for free的帳號，他會在SSL Cert快過期時通知你

頁面往下面捲動，選擇Download All SSL Certificate Files將憑證下載回來
這份檔案非常重要請一定要保存好

有了憑證後我們要匯入到NAS裡面去
回到DSM→控制台→安全性→憑證 →新增

選擇新增憑證後點下一步












之後選匯入憑證

匯入這邊，將之前下載的zip檔解壓縮
私鑰的部分選擇private.key
憑證選擇certificate.crt
之後按確定就好

此時可以看到憑證成功匯入。
現在我們點選設定來設定website使用憑證

將website指定成剛才匯入的憑證

此時就可以使用https開啟website了