Выбираем домен на который нам нужен будет сертификат. Небольшое замечание. Сертификат может быть выдан только на домен третьего уровня, но в полях альтернативных имен будет указан и ваш домен второго уровня.
В качестве проверки сервис использует адреса электронной почты, где можно выбрать один из трех: webmaster@domain.com, postmaster@domain.com илиhostmaster@domain.com. Создаем себе почтовый ящик с требуемым именем, понадобится он только один раз в год при выдаче и последующем обновлении сертификата.
После получения кода по выбранному адресу, подтверждаем его и переходим на вкладку Certificates Wizard. Нам требуется обычный сертификат для Web-сервера (Synology NAS работают на базе Apache), выбираем Web Server SSL/TLS Certificate.
Далее нам необходимо создать закрытый ключ, значения полей можно оставить по-умолчанию, важно придумать пароль на ключ и не забыть его записать, он нам понадобится чуть позже. Требования к паролю: только цифры и буквы, от 10 до 32 символов, без пробелов.
Сгенерированный ключ необходимо сохранить, как есть, включая абсолютно все строки. Чуть позже нам потребуется его раскодировать.
Следующим шагом будет выбор нашего уже привязанного и проверенного домена. У меня это было обновление истекшего сертификата на уже существующем домене, поэтому некоторые поля будут скрыты.
В следующем шаге мы должны ввести имя нашего домена третьего уровня, для которого и будет создаваться сертификат, чтобы получилось, например, ds.simwhite.ru.
После подтверждения сохраняем полученный сертификат текстом, включая абсолютно все строки, в файл ssl.crt и переходим на вкладку Tool Box. Здесь нам необходимо выбрать пункт Decrypt Private Key, вставить скопированный ранее закрытый ключ, ввести пароль и нажать Decrypt. Полученный раскодированный ключ сохраняем в текстовый файл с именем ssl.key.
Осталось только привязать все это дело в настройках на Synology. Заходим в интерфейс управления нашей станцией, переходим в Панель управления, Веб-службы, вкладка Служба HTTP, ставим галку на «Включить соединения HTTPS для веб-служб» и импортируем наши сохраненные файлы. Теперь мы можем использовать все сервисы нашей дисковой станции с шифрованием доверенным сертификатом.
PROFIT!
После года использования сертификата у меня оставался вопрос, как происходит продление, т.к. при попытке заранее продлить сертификат, система отказывала ссылаясь на то, что сертификат еще действителен и из операций возможен только его отзыв. Решение пришло в виде письма на днях, за две недели до истечения срока действия сертификата высылается уведомление об этом и все спокойно продлевается снова.
Замечания:
- В случае если для доступа к дисковой станции используется DynDNS, можно прописать CNAME запись вашего домена на DNS-имя службы DynDNS.
- С помощью сервиса StartSSL можно выписывать бесплатные сертификаты на любой веб-сервер, адрес электронной почты, приложение или даже для собственного XMPP-сервера.
- После регистрации на сервисе не забываем сделать экспорт сертификата авторизации, вход осуществляется исключительно по нему, без логинов/паролей.
- Если домен был только что куплен, то сервис откажет в регистрации примерно на неделю.
Жили как-то раньше без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам высунув язык, разыскивать хостинг с дешёвым или бесплатным s-s-l.