黑群4528安全加固

chenjh

安装完黑群晖后，发现可以将web界面设置为SSL方式l连接，但是如果将端口暴露在互联网上的时候
并不能对客户进行认证，谁都可以连接上来。
现在比较可靠的认证方式就是对客户端也进行基于证书的身份认证。
下面简要介绍下如何在群晖4528上增加对客户端的认证

1) 使用openvpn的easy-rsa工具生成ca证书，服务器证书，客户端证书
2) 上传服务证书到群晖的/etc/chenjhcert目录
3) 登录到后台
vi /etc/httpd/sites-enabled-user/httpd-ssl-vhost.conf-user
粘贴下面的内容
Listen 8443
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
NameVirtualHost *:8443
<VirtualHost *:8443>
        ServerName ntvis.com
        SSLEngine On
        SSLProxyEngine On
        ProxyRequests Off
        ProxyVia Off
        ProxyPass / https://localhost:5001/
        ProxyPassReverse / https://localhost:5001/
        SSLCertificateFile /etc/chenjhcert/nasserver.crt
        SSLCertificateKeyFile  /etc/chenjhcert/nasserver.key
        SSLCertificateChainFile /etc/chenjhcert/ca.crt
        SSLCACertificateFile   /etc/chenjhcert/ca.crt
        SSLVerifyClient require
        SSLVerifyDepth  10
</VirtualHost>
4) 重启服务器
5) 将端口8443映射到路由器上
6) 将客户端证书导入到firefox或者ie
6) 通过互联网访问https://youip:8443此时选择客户端证书进行访问

massmass

这样的话用群晖的app怎么访问呢？比如photo+ 那个没地方选择证书啊，还是说app依旧用443端口