HOME  /Synology
 /Let’s Encryptの無償のSSL証明書の取得方法
2020年03月21日

Let’s Encryptの無償のSSL証明書の取得方法

無償のSSL証明書の登場により自宅のWebサイトでもHTTPS化が可能になりました。

しかしDSMの証明書の取得方法はかなり癖があり何故、エラーになるのか?等がマニュアルを見ても全然分かりません。

そこで試行錯誤の結果、判った事を解説します。

1.事前知識:証明書作成の2つの方法

1-1.コントロールパネルの下記アイコンをクリックします。

セキュリティ全体のメニュが表示され、その中に証明書タブがあります。

 

1-2.上図の証明書タブを開いて『追加ボタン』を挿入してください。

下記画面が表示されます。

上図の様に①新しい証明書を追加②既存の認証を置き換えのメニュが表示され、いづれのメニュでもLet’s Encryptの証明書は作成できますが性格が全然異なります。

①新しい証明書の追加

このメニュは証明書を作成するだけで、この証明書を使う宣言ではありません。

この証明書を使う為には証明書をDefault certificateにしてWebサーバを再起動する必要があります。

Webサーバの再起動は

・Synologyの再起動か

・「コントールパネル→ネットワーク→DSM設定」の設定内容を変更する

方法しかありません。よってこのメニュは面倒なので使いません。

 

既存の認証を置き換える

これは現在のDefault certificate証明書を破棄して、新しい証明書に置き換えたうえでWebサーバの再起動を行ってくれます。

よって即時に新しい証明書が反映されまのでこちらを利用するのがお勧めです。

但し、Default certificate証明書が無い場合は、①新しい証明書でWebサーバの再起動を行ってくれます。

2.事前知識:Let’s Encrypt証明書作成時のエラー

Let’s Encrypt証明書作成時に下記の様なエラーメッセージが良く出ます。

またヘルプを見ると意味が判らない下記の様な記述があります。

Let’s Encrypt証明書作成時の指定項目は下記の3点です。

①ドメイン名

登録したいDDNS名です。例えばこのサイトの『nw.myds.me』です。

②Eメール

登録するアカウントです。登録できる個数に制限があるようですが3個までは問題なくできます。

③サブジェクトの別名

上記のドメイン名『nw.myds.me以外のDDNSでもアクセスする場合はここに指定します。

­ ­登録時にエラーが出るケース

①登録したいドメイン名が既に登録済みの場合。

例えばドメイン名が「nw.myds.me」でサブジェクトの別名で「nw1.myds.me」を登録していた場合は、「nw.myds.me」では登録できません。

しかし「nw1.myds.me」をドメイン名にしてサブジェクトの別名で「nw.myds.me」を登録する事はできます。

この時に注意するのは「nw.myds.me」ドメイン名の証明書は残っているので、これが失効する時にLet’s Encryptからメールが届きますが無視して下さい。「nw1.myds.me」の証明書は自動的に更新されます。

②Let’s Encryptが登録したいDDNSを拒否する場合。

Let’s Encryptは証明書を発行する時に指定したドメイン名やサブジェクトの別名にアクセスします。
その時にアクセスできない時にはエラーがでて登録されません。
以前は「mydns.jp」のDDNSは、Let’s Encryptの証明書には使えなかったのでエラーがでました。

しかし現在では「mydns.jp」も証明書で使える様になっています。

 

3.Let’s Encrypt証明書の作成手順

無償のサーバ証明書の取得方法は下記になります。

1.ルータの設定でポート番号の80番と443番をオープンにして下さい。

設定方法はSynology NASをDDNS(ドメイン名)でアクセスするを参照してください。

 

2.SSL通信の関連項目を確認してください

・DSMのHTTPS通信のポート番号を確認してください。

コントロールパネル→ネットワーク→DSM設定タブ

・WebDAVのHTTPS通信のポート番号を確認してください。

パッケージのWebDAVサーバの設定

※上記のポート番号がルータに設定されているのか?も必ず確認してください。

 

3.証明書の取得方法

コントロールパネル→セキュリティ→証明書タブを開く

①追加ボタンを挿入する

・証明書タブで既に(Default Certificate)がある場合

『既存の照明書を置き換える』を選択

・証明書タブで何も表示されてない場合

『新しい証明書を追加してください』を選択

②表示されたメニュの中から、『Let’s Encryptから証明書をお受け取り下さい』を選択します。

③表示された画面に、必要事項を入力する。

私の自宅は下記のDDNSを取得しています。

・Synologyから取得したDDNS

『nw.myds.me』と『nw1.myds.me』

・Dynuから所得したDDNS

『hnw.ddnsfree.com』

よって設定は下記になります

項目 設定値
ドメイン名 nw.myds.me
Eメール 特に制限はありません
サブジェクトの別名 nw1.myds.me;hnw.ddnsfree.com

適用ボタンを挿入するとLet’s Encryptからの証明書が取得され、サーバが再起動します。

以上でSSLサーバ証明書が取得できたのでHTTPS通信が可能になりました。

 

4.正しい証明書か?否かの確認方法

下記画面でサブジェクトの別名で、登録したDDNSが表示されていたら完了です。

※1.証明書の有効期間が表示されています。期日が近づくとDSMが自動で証明書を更新します。

※2.右にある下矢印を挿入すると証明書の詳細が表示されます。ここに別名のDDNSが登録されています。

※3.有効期限がグリーンでなく赤字で表示される場合は何かの理由で更新できない事を示しています。
この場合はドメイン名を別のDDNSにして再登録して下さい。
私の場合はサーバを証明書毎、別のモデルに移行した時にこの現象が発生しました。
SSLはサーバ証明書なのである意味当然ですネ。

 

4.https通信に切り替えた時の注意点

HTTPS通信に変更する理由は、Synologyの各種アプリケーションのユーザ名とパスワードが外部に流出する事を防止する為です。

よってHTTPS化にした後は、HTTP通信を使わない運用が重要になります。

下記に各アプリケーション毎の対策を解説します。

4-1.DSMへのアクセスをHTTPSに限定する方法

コントロールパネル→ネットワーク→DSM設定」で下記画面を呼び出してください。

※1.HTTPとHTTPSのポート番号を設定します。
併せてルータの設定も忘れないでください。

※2.「HTTP接続をHTTPSに自動リダイレクトする」にチェックを入れてください。
これでHTTPでは接続できなくなります。

※3.「HTTP/2を有効にする」にチェックを入れてください。
詳細は割愛しますがHTTP通信の性能向上に関係する機能です。

4-2.WEBサイトへのアクセスをHTTPSに限定する方法

WEBサイトにはMariaDBをアクセスするphpMyAdminと、WordPress等のアプリケーションで作った独自サイトがあります。

これらをHTTPSにリダイレクトさせる為には仮想ホスト機能を利用します。

①Web Stationを起動します。

②作成ボタンを挿入します。

③下記画面に必要情報を入力します。

※1.ホスト名の所に貴方が取得したDDNS名を入力して下さい。

※2.ドキュメントルートはWEBです。
この中にphpMyAdminWordPressプログラムがあります。

※3.HSTSHTTP/2にチェックを入れます。

※4.利用するバックエンドサーバやPHPのバージョンを選択します。

保存をするとブラウザにHTTP通信をHTTPS通信にする様に連絡してくれます。

一方、サーバ側もHTTPS通信で動く設定が必要になります。

・phpMyAdmin

HTTPS通信でそのまま利用できます。

・WordPress

コンテンツ自体をHTTPSで作成する必要があります。

­ ­メモ

HSTSとは
HSTS(HTTP Strict Transport Security)は、HTTP の代わりに HTTPS を用いて通信を行うようにWeb サイトからブラウザに要求するセキュリティ機能です。
HTTP/2とは
HTTP/2は従来のHTTPに「ストリーム」という概念を導入し、1つのコネクション内で同時に並行して複数のリクエスト/レスポンスを処理できるようにしたプロトコルです。

4-3.その他

①WebDAV

WebDAV Serverの「HTTPSを有効にする」で指定したポート番号で接続します。

②VPN

VPN自体はhttp通信ですが、VPNの中で暗号化されます。

以上でSynologyのサーバのセキュリティが格段に向上します。

以上でこのドキュメントの説明は完了です。

関連ドキュメントはメニュの「Synologyタブ」か下記の関連記事一覧から探して下さい。

又、このサイトには、Google広告が掲載されています。

この記事が貴方の参考になりましたら、広告もご覧頂ければ幸いです。


<関連記事一覧>

「synology」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

ここではSynologyのphpMyAdminの「Incorrect format parameter」エラーについて解説します。このエラーは32MB以上のSQLファイルをインポートしようとした為に発生するエラーです。ここではその回避方法を解説しています。

Wordpressのセキュリティ強化の方法として「SiteGuard WP Plugin」と「Google Authenticator」の使い方を解説しています。

WordPressを構築した後、URL変更をしたい等のニーズが発生しますが、この時に重要なのはWordPressの稼働環境を理解する必要があります。ここでは「WordPressの稼働環境」と「MariaDBの中の構造」を解説しています。

Synologyサーバで大量のデータをコピーすると数十分の時間が掛かる事があります。これを数分以内でコピーする方法を解説しています。

「PHP7.0」から「PHP7.3」に変更したや、画面が途中で表示されないという問題が発生しました。この時に対応した内容を紹介しています。

自宅や職場のLANの中に「複数台のSynologyサーバ」があり、且つ、それらをhttpsでアクセスしたい場合に、SSL証明書をどうすれば良いか?を解説しています。

私の自宅は2019年末に「IIJMIO光」から「so-net光プラス」に変更しました。その結果、外部からWebサーバにアクセス出来ないという障害が発生しました。これにどう対応したか?の履歴が記載されています。

SynologyのDSMで80/443以外のポート番号を使ったWebサイトを構築する方法を解説しています。

SynologyでWordPressのURL変更を「Search-Replace-DB」で行う為には、ポート番号指定でDBを見に行く必要があります。ここではこの使い方を解説しています。

アルバムを公開アルバムにするとPhoto Stationで公開写真WEBサイトを構築する事ができます。更に、このサイトを「検索エンジンにインデックスさせる」と更に公開範囲が広がります。ここでは公開アルバムに関連する設定を解説しています。

スマートデバイスの写真を「DS Photo」を使ってPhoto Stationにアップロードする事ができます。アップロード方法には①バックアップコマンド②アップロードコマンドがあります。①を使うと写真を撮った段階で自動的にアップロードすることが可能です。

Photo Stationにはスマートデバイス専用のアプリケーションが用意されています。これがDS Photoです。
ここではこの使い方を解説しています。

Photo Stationは基本のPhoto Station以外にDSMユーザ毎に個人用Photo Stationを作成する事ができます。
ここでは個人用Photo Stationの作成方法と使い方を説明しています。

Photo Stationの基本は「公開写真Webサーバー」です。ここではこれを特定の人達で共有する方法を解説しています。

Synologyの「Photo Station」パッケージを利用するとスマホやデジカメで撮影した写真をNASサーバの中に保管をして色々な人と共有する事が可能になります。ここではこのPhoto Stationの起動方法と「Photo Station」用語を解説しています。

FTPの定番ソフトであるFFFTPを使って、SynologyのNASと接続する方法を解説しています。また対象は暗号化なしではなく、SSL証明書を使ったFTPS接続のケースになります。

iOSデバイスのWi-Fiの設定にDNSサーバを指定する方法を解説しています。

Synologyを使い始めてから何回かアプリケーション更新後に障害が発生しました。その時にはバックアップからアプリケーションを戻しますが、その戻し方を解説しています。

SynologyのPhoto Stationを利用した時に発生したエラーとその対策を解説しています。

AndroidデバイスのWi-Fiの設定にDNSサーバを指定する方法を解説しています。

SynologyのDSMに対するアタックの見方DSMの管理者を2段階認証にする方法を解説しています。

SynoloigyのDSM6.1からMariaDB5とMariaDB10の2つのDBがリリースされました。ここではMariaDB10とこのDBをアクセスするphpMyAdminの設定方法を解説しています。

Synologyサーバに2つ以上のDDNSを使う場合はSynology以外の無償DDNSサイトから取得する必要があります。またDDNSなら何でも良いのではなく、URLで更新できるDDNSでないとSynologyでは利用できません。ここでは『Dynu.com』社のDDNSの取得方法と設定方法を解説しています。

Synologyサーバに『NO-IP.com』のDDNSを利用する応報を解説しています。

phpmyadminのセキュリティ対策として①phpMyAdminを別名にする方法②phpMyAdminをrootでアクセスできなくする方法
③phpMyAdminアクセスをローカルに限定する方法を解説しています。

SynologyのNASにWebサービスを立ち上げると、WordPressを使ったWebサイトや、EC-CUBEを使ったECサイト等を立ち上げる事ができます。本ドキュメントはWebサービスの立ち上げ方、仮想ホスト機能、パーソナルWebの機能について解説しています。

WordPressをインストールするとディフォルトではサイトURLはドメイン名/WordPressフォルダになります。これをドメイン名だけにする為にSynologyの仮想ホスト機能を使います。本ドキュメントはこの使い方を解説しています。

WordPressの動作環境を変更すると、DBをダイレクトに変更しなければならないケースがあります。このドキュメントはphpMyAdminのエクスポートとインポートを使って修正した事例を紹介しています。

無償DDNSのDDNSサイトのmydns.jpからドメイン名を取得する方法を記載しています。このサイトはIPアドレスの通知にクエリーパラメータ方式も利用できる無償のDDNSサイトなので、IPv6にも対応したDDNSサイトです。

Synology のサーバをhttpsでアクセスする為には、サーバ側にSSLサーバ証明書を入れる必要があります。本稿では自証証明書の作成方法からWindowsPCへの証明書の登録方法を解説しています。

synologyにVPNで接続する方法を解説しています。VPNはPPTPとL2TP/IPsecを解説しています。またWindowsでL2TP/IPsecを使う場合はレジストリを変更する必要があります。この辺も解説しています。

QuickConnectは自宅にあるSynologyのNASサーバが常時Synologyのサイトと接続されている環境を使ってインターネットからアクセスする方法です。この方法はルータの設定変更を必要としないのであまりネットワークに詳しくない人でも利用できる特徴がありますが、利用できるのは特定アプリケーションのみです。

SynologyのNASのOSはDSMになります。このドキュメントはDSMの更新方法について解説しています。

ここではSynoligyサーバを「Hyper Backup」アプリケーションで、Googleドライブにバックアップ/リストアする方法を解説しています。

Synologyを複数台持っている場合は、Synology間でバックアップを相互に持たせる事ができます。ここではその方法を解説しています。

SynologyのMariaDBから、mysqldumpを使ってDBを定期的にダンプする方法と、それを利用してWordPressを過去の時点に戻す方法を解説しています。

SynologyのNAS機能に関連するメニューは①ファイルサービス、②共有フォルダ、③グループ、④ユーザがありこれらの関連性を解説しています。また利用権限は各々のメニューの中でも設定できるため誰に何の権限を与えたか?が判りずらい為、権限設定の考え方の例を解説しています。

Synologyの自動セットアップはLAN上のDHCPサーバから割り振らてたIPアドレスが割り振られています。本稿ではこれを固定IPアドレスに変更する方法と、DSM(DiskStation Manager)にアクセスする為のポート番号の設定を解説しています。

DSM(DiskStation Manager)のログイン画面をカスタマイズする方法を解説しています。これを使う事により企業特有のログイン画面が作成できます。

SynologyのDSM6の基本画面とコントロールパネルの基本的な使い方を解説しています。

SynologyのNASは独自のDSM(DiskStation Manager)というOSで動いております。私が経験したのはDSM4、DSM5を経由し、現在はDSM6を利用しています。どのバージョンでも操作は基本的には変わりません。

Synology サーバとWindowsPCをWebDAV接続すると、インターネット環境やローカル環境からアクセス権限を持った総てのフォルダがローカルフォルダと同様に利用できるようになります。ここではこの方法を解説しています。

SynologyのWordpressパッケージをインストールする方法を解説しています。

Synology のNASをインターネットからアクセスする方法としてDDNS(Dynamic DNS)を利用する方法があります。本稿ではDDNSにSynologyのDDNSを利用する方法と、インターネットルータへのポート番号設定事例を紹介しています。

SynologyのNASにWordpressを インストールしてWebサーバを構築する場合、ローカルPCからもURLでアクセスできる必要があります。この解決方法にSynologyのDSM Serverを使う方法を解説しています。

SynologyのNASに日本語版WordPressをインストールするやり方を解説しています。複数のWordPressも同一手法で稼動させることができます。