保护您的连接
使用SSL加密保护你的Unraid WebGUI安全,保护敏感数据(如登录凭证和配置细节)免于在本地网络或互联网被截取或篡改。你可以使用由Let's Encrypt在本地及Unraid Connect远程访问场景下获得的通配符SSL证书。
SSL (Secure Sockets Layer) encrypts all traffic between your browser and the Unraid server, preventing eavesdropping and man-in-the-middle attacks. Without SSL, anyone with access to your network could potentially intercept sensitive data or hijack your session. Using SSL is strongly recommended for both local and remote management of your Unraid server.
SSL 参数
Several parameters in Unraid affect how SSL is configured and used. Understanding these helps you choose the right certificate and connection method for your needs.
| 类型 | 描述 |
|---|---|
| 自签名 | 用于仅本地访问时不需要可信证书的情况。 |
| Myunraid.net | 用于安全的本地和远程访问,特别是使用 Unraid Connect 或者如果需要可信的证书。 |
| 自定义 | 在设置→管理访问中设置。控制是否启用SSL。 |
| HTTP 端口 | 设置在设置 → 管理访问中。默认是80. |
| HTTPS 端口 | 设置在设置 → 管理访问中。默认是443. |
| 证书 | 使用的 SSL 证书类型(参见下文)。 |
| 局域网 ip | 服务器的局域网 IP 地址,格式适用于 URL 使用。 |
| 广域网 ip | 服务器的公共 IP 地址,格式适用于 URL 使用。 |
| Hash | 分配给服务器证书的唯一 40 字符标识符。 |
SSL 证书类型
| 类型 | 使用时机 | 优缺点 |
|---|---|---|
| 自签名 | 用于仅本地访问时不需要可信证书的情况。 | 设置简单,但浏览器会显示警告。一旦接受警告,流量即被加密。 |
| Myunraid.net | 用于安全的本地和远程访问,特别是使用 Unraid Connect 或者如果需要可信的证书。 | Trusted by browsers, no warnings. Enables secure remote access via Unraid Connect. |
| 自定义 | 对于需要通配符或自定义域证书的高级用户(需要 DNS 配置)。 | 可信、灵活,但需要额外设置。 |
访问您的 WebGUI 的方式
以下是在不同 SSL 配置下访问您的 Unraid WebGUI 的主要方式:
仅 HTTP(未加密)
点击展开/折叠
在仅有 HTTP 的情况下,浏览器和服务器之间的流量未加密。
- 转到设置 → 管理访问。
- 将 使用 SSL/TLS 设置为否。
- 将 本地 TLD 保持为
local,除非您拥有自己的 DNS。 - 访问 URL:
http://[服务器名].[本地 TLD](例如:http://tower.local)http://[ip 地址](例如:http://192.168.100.1)
- 点击 应用。
:::警告 您网络上的任何人都可以拦截通过HTTP发送的数据。请尽可能使用HTTPS。 :::
HTTPS 配合自签名证书
点击展开/折叠
流量已加密,但因为证书不是由可信机构签署,浏览器会显示警告。
- 转到设置 → 管理访问。
- 将 使用 SSL/TLS 设置为是。
- 将 本地 TLD 保持为
local,除非您拥有自己的 DNS。 - 访问 URL:
https://[服务器名].[本地 TLD](例如:https://tower.local)https://[ip 地址](例如:https://192.168.100.1)
- 点击 应用。
:::重要 浏览器�将显示证书错误。接受警告后,所有流量仍然加密。 :::
用 Myunraid.net 证书且无备用 URL 的 HTTPS 访问
点击展开/折叠
这种方法通过要求所有 WebGUI 访问使用 Myunraid.net 证书和 URL 提供了最高级别的 SSL 执行。它适合希望最大安全性并且不需要通过本地IP或主机名访问服务器的用户,如果 DNS 不可用。
- 转到设置 → 管理访问。
- 保持 本地 TLD 设置为
local,除非您有自己的 DNS 名称解析(用于备用证书,如果您稍后运行use_ssl命令)。 - 点击 生成 来生成 Myunraid.net 证书。
- 如果您的网络没有 DNS 重新绑定问题,使用 SSL/TLS 的严格选项将可用。
:::注意 如果 DNS 分辨率不可用(例如,您的互联网连接断开),您将无法使用 Myunraid.net URL 访问 WebGUI 。
http://[服务器名].[本地 TLD](例如:http://tower.local)http://[ip 地址](例如:http://192.168.100.1)
当使用 SSL/TLS 设置为是时的主要 URL(使用自签名证书):
https://[服务器名].[本地 TLD](例如:https://tower.local)https://[ip 地址](例如:https://192.168.100.1)
您的替代 myunraid.net URL:
https://[lan-ip].[hash].myunraid.net(例如:https://192-168-100-1.a1b2c3d4e5.myunraid.net)- 此 URL 显示在 访问管理 页面的 本地访问 URL 字段中。
- 如果您安装了 Unraid Connect 插件,它也会显示在 Connect 仪表板上。
:::信息 myunraid.net证书受浏览器信任,不显示警告。URL使用您的LAN IP地址,其中点更改为破折号,加上分配给您服务器的唯一40字符hash。 :::
:::提示[后备访问] 如果 DNS 分辨率不可用(例如,您的互联网断开),您可以使用本地URL与服务器名称或IP地址作为备用访问方法。 :::
用 Myunraid.net 证书且无备用 URL 的 HTTPS 访问
点击展开/折叠
这种方法通过要求所有 WebGUI 访问使用 Myunraid.net 证书和 URL 提供了最高级别的 SSL 执行。它适合希望最大安全性并且不需要通过本地IP或主机名访问服务器的用户,如果 DNS 不可用。
-
在 WebGUI 中的 设置 → 访问管理。
-
保持 本地 TLD 设置为
local,除非您有自己的 DNS 名称解析(用于备用证书,如果您稍后运行use_ssl命令)。 -
点击 生成 来生成 Myunraid.net 证书。
-
如果您的网络没有 DNS 重新绑定问题,使用 SSL/TLS 的严格��选项将可用。
-
将 使用 SSL/TLS 设置为严格(或早期 Unraid 版本中的自动)。
-
您的访问 URL 将是:
https://[lan-ip].[hash].myunraid.net(例如:https://192-168-100-1.a1b2c3d4e5.myunraid.net)如果您安装了 Unraid Connect 插件,它也会显示在 Connect 仪表板上。
:::注意 如果 DNS 分辨率不可用(例如,您的互联网连接断开),您将无法使用 Myunraid.net URL 访问 WebGUI 。
重新获得访问权限的方法:
- 使用 Telnet、SSH 或本地键盘/显示器登录。
- 运行
use_ssl no切换到 HTTP (http://[服务器名].[本地 TLD]或http://[ip 地址])。 - 运行
use_ssl yes以切换到使用自签名证书的HTTPS(https://[servername].[localTLD]或https://[ipaddress])。详细信息请参阅上文自签名证书的HTTPS。 - 一旦 DNS 恢复,将 使用 SSL/TLS 设置为严格以获得完整安全性。 :::
重定向
当您访问 http://[服务器名].[本地 TLD] 时,重定向行为取决于您的 使用 SSL/TLS 设置:
-
严格:您将被重定向到
https://[lan-ip].[hash].myunraid.net。 :::注意 如果 DNS 不可用,这可能会使本地访问困难。请参阅 HTTPS 使用 Myunraid.net 证书并且无备用 URL下的注意事项。 ::: -
是:您将被重定向到
https://[servername].[localTLD]。即使您的互联网连接中断,这也能正常工作。 -
否:HTTP URL 将直接加载,无重定向或加密。
自定义证书
自定义证书允许您使用自己的 SSL 证书,如由商业证书颁发机构签发的证书或域的通配符证书来保护 Unraid WebGUI。
A custom certificate is any SSL certificate that you provide and manage yourself, rather than one generated by Unraid or Let's Encrypt. This is useful if you want to use your own domain name, a wildcard certificate, or integrate with your organization's PKI infrastructure.
:::info[When 使用自定义证书时,您需负责...
- 从可信的证书颁发机构(CA)采购证书
- 管理所选域的 DNS 记录
- 根据需要上传和更新证书
- 确保证书与服务器的域名匹配(在主题或主题备用名称字段中)
:::
如果您的证书无效或与服务器的 URL 不匹配,Unraid 将删除它并恢复为默认证书。
HTTPS 配合自定义证书(可选的 Unraid Connect 远程访问)
通过 HTTPS 和自定义证书访问 - 点击以展开/折叠
- 转到设置 → 管理访问。
- 将 使用 SSL/TLS 设置为是。
- 将 本地 TLD 设置为证书主题中的域名。
- 通过
https://[servername].[localTLD](例如,https://tower.mydomain.com)访问您的服务器。您必须为此URL管理DNS。 - 将您的证书上传到
/boot/config/ssl/certs/[服务器名]_unraid_bundle.pem。 - 证书必须对
[服务器名].[本地 TLD]或通配符*.[本地 TLD]有效(其中[本地 TLD]与您在 本地 TLD 字段中输入的完全相符)。- 域必须出现在主题或主题备用名称字段中(Unraid 6.10.3+ 支持 SANs)。
- 如果证书不匹配,Unraid 将删除它。
- 可选启用 Unraid Connect 远程访问 以实现安全、浏览器受信任的远程管理。
:::提示
对于通配符证书,确保证书的主题备用名称或主题字段包含 *.[localTLD],其中 [localTLD] 是您在 管理访问 中输入的确切值。
:::
SSL 故障排除和高级配置
本节介绍了一些关于使用 myunraid.net 证书的常见 SSL 相关问题和高级配置选项,无论您是否安装了 Unraid Connect。
DNS 重绑定保护
DNS rebinding protection is a security feature on many routers that prevents public DNS entries from resolving to local IP addresses. This helps protect your network from certain attacks, but can cause issues when trying to use SSL certificates for local access to the Unraid WebGUI.
当 SSL 开启并使用 myunraid.net 证书时,通常通过一个完全限定域名(FQDN)访问 Unraid 服务器,例如:
- 在错误信息上点击 确定,等待2至5分钟,然后重试。
- 如果错误仍然出现,请检查路由器设置中与“DNS重绑定保护”或类似术语相关的选项。
- 允许对
myunraid.net域进行DNS重绑定。 - 请记住,DNS更改需要时间传播,因此在更新后可能会再次看到错误。
或者,如果您使用自定义HTTPS端口:
当DNS失效时访问服务器
当 SSL 开启并使用 myunraid.net 证书时,通常通过一个完全限定域名(FQDN)访问 Unraid 服务器,例如:
https://ip.yourpersonalhash.myunraid.net
或者,如果您使用自定义HTTPS端口:
https://ip.yourpersonalhash.myunraid.net:<https_port>
这确保您使用有效的SSL证书进行安全访问。然而,如果您的互联网连接中断且浏览器未缓存DNS条目,您可能会失去访问WebGUI的权限。
如果您希望在受信的家庭网络上使用简单的HTTP连接,或面临 SSL 证书提供、DNS重绑定或浏览器兼容性的问题,应禁用本地访问的 SSL 。
-
如果使用SSL/TLS设置为是,请尝试访问您的服务器:
https://[servername].[localTLD]或者使用自定义端口:
https://servername.[localTLD]:<https_port> -
如果这不起作用,或者 使用SSL/TLS 设置为 严格:
互联网访问恢复后,前往设置→管理访问并将 使用SSL/TLS 设置回 严格 以重新启用本地SSL。
禁用本地访问的SSL
如果您希望在受信的家庭网络上使用简单的HTTP连接,或面临 SSL 证书提供、DNS重绑定或浏览器兼容性的问题,应禁用本地访问的 SSL 。
要禁用本地访问的 SSL :
- Go to Settings → Management Access in the WebGUI.
- 将 使用SSL/TLS 设置为 否。
- 点击 应用。
此更改还将禁用远程访问功能,因为 SSL 对于安全的远程连接是必要的。