跳到主要内容

保护您的连接

使用SSL加密保护你的Unraid WebGUI安全,保护敏感数据(如登录凭证和配置细节)免于在本地网络或互联网被截取或篡改。你可以使用由Let's Encrypt在本地及Unraid Connect远程访问场景下获得的通配符SSL证书。

The SSL 的重要性

SSL (Secure Sockets Layer) encrypts all traffic between your browser and the Unraid server, preventing eavesdropping and man-in-the-middle attacks. Without SSL, anyone with access to your network could potentially intercept sensitive data or hijack your session. Using SSL is strongly recommended for both local and remote management of your Unraid server.

SSL 参数

Several parameters in Unraid affect how SSL is configured and used. Understanding these helps you choose the right certificate and connection method for your needs.

参数描述
服务器名称设置 → 标识中设置。默认是tower
本地TLD设置 → 管理访问中设置。默认是local
使用 SSL/TLS设置 → 管理访问中设置,控制%%SSL
HTTP端口设置 → 管理访问中设置。默认是80
HTTPS 端口设置 → 管理访问中设置。默认是443
证书使用的%%SSL
局域网IP你的服务器的局域网IP地址,为便于在URL中使用而格式化。
广域网IP你的服务器的公共IP地址,为便于在URL中使用而格式化。
Hash分配给你服务器证书的唯一40字符标识符。

SSL 证书类型

类型使用时机优点/缺点
自签名仅用于本地访问,无需信任的证书时。容易设置,但浏览器会显示警告。接收警告后流量被加密。
Myunraid.netFor secure local and remote access, especially with Unraid Connect or if you want a trusted cert.Trusted by browsers, no warnings. Enables secure remote access via Unraid Connect.
自定义对于需要通配符或自定义域证书的高级用户(需要 DNS 配置)。受信任,灵活,但需要额外设置。

访问您的 WebGUI 的方式

以下是在不同 SSL 配置下访问您的 Unraid WebGUI 的主要方式:

仅 HTTP(未加密)

点击展开/折叠

仅使用HTTP时,你的浏览器与服务器之间的流量不被加密。

  1. 转到设置 → 管理访问
  2. 使用 SSL/TLS 设置为_否_。
  3. 本地 TLD 保持为 local,除非您拥有自己的 DNS。
  4. 访问 URL:
    • http://[服务器名].[本地 TLD] (例如:http://tower.local
    • http://[ip 地址] (例如:http://192.168.100.1
  5. 点击 应用
警告

任何在你网络中的人都可以截取通过HTTP发送的数据。尽可能使用HTTPS。

HTTPS 配合自签名证书

点击展开/折叠

流量被加密,但因证书未被受信任机构签署,浏览器会显示警告。

  1. 转到设置 → 管理访问
  2. 使用 SSL/TLS 设置为_是_。
  3. 本地 TLD 保持为 local,除非您拥有自己的 DNS。
  4. 访问 URL:
    • https://[服务器名].[本地 TLD] (例如:https://tower.local
    • https://[ip 地址] (例如:https://192.168.100.1
  5. 点击 应用
important

浏览器将显示证书错误。接受警告后,所有流量仍被加密。

用 Myunraid.net 证书和备用 URL 的 HTTPS 访问

点击展开/折叠

你可以通过使用Myunraid.net证书安全地通过WebGUI访问你的服务器,并在你的%%DNS|dns名称解析%%解析失效时配置备用URL。所有流量将被加密,当%%DNS|dns名称解析%%不可用时,服务器将配置使用备用方法。

  1. 转到设置 → 管理访问
  2. 保持 本地 TLD 的默认值 local,除非您可以提供自己的 DNS 名称解析(用于备用证书)。
  3. 使用 SSL/TLS 设置为_否_或_是_。
  4. 按下 生成 来生成 myunraid.net 证书。

当使用SSL/TLS设置为_否_时的主要URL:

  • http://[服务器名].[本地 TLD] (例如:http://tower.local
  • http://[ip 地址] (例如:http://192.168.100.1

当使用SSL/TLS设置为_是_(使用自签名证书)时的主要URL:

  • https://[服务器名].[本地 TLD] (例如:https://tower.local
  • https://[ip 地址] (例如:https://192.168.100.1

你的备用myunraid.net URL:

  • https://[lan-ip].[hash].myunraid.net (例如:https://192-168-100-1.a1b2c3d4e5.myunraid.net

  • 此 URL 显示在 访问管理 页面的 本地访问 URL 字段中。

  • 如果您安装了 Unraid Connect 插件,它也会显示在 Connect 仪表板上。

    信息

    The myunraid.net certificate is trusted by browsers and does not display warnings. The URL uses your LAN IP address with dots changed to dashes, plus a unique 40-character hash assigned to your server.

    备用访问

如果%%DNS|dns名称解析%%不可用(例如你的互联网断开),你可以使用你的服务器名称或IP地址作为备用访问方法的本地URL。

:::

用 Myunraid.net 证书且无备用 URL 的 HTTPS 访问

点击展开/折叠

此方法通过要求所有WebGUI访问使用Myunraid.net证书和URL,提供了最高级别的SSL加密。这对需要最大安全性且不需要通过本地IP或主机名访问服务器的用户来说是理想的,即使%%DNS|dns名称解析%%不可用。

  1. WebGUI 中的 设置 → 访问管理

  2. 保持 本地 TLD 设置为 local,除非您有自己的 DNS 名称解析(用于备用证书,如果您稍后运行 use_ssl 命令)。

  3. 点击 生成 来生成 Myunraid.net 证书。

  4. 如果您的网络没有 DNS 重新绑定问题,使用 SSL/TLS 的_严格_选项将可用。

  5. 使用 SSL/TLS 设置为_严格_(或早期 Unraid 版本中的_自动_)。

  6. 您的访问 URL 将是: https://[lan-ip].[hash].myunraid.net (例如:https://192-168-100-1.a1b2c3d4e5.myunraid.net

    如果您安装了 Unraid Connect 插件,它也会显示在 Connect 仪表板上。

注意

如果%%DNS|dns名称解析%%不可用(例如你的互联网连接断开),将无法使用Myunraid.net URL访问%%WebGUI|web-gui%%。

重新获得访问:

  • 使用 Telnet、SSH 或本地键盘/显示器登录。
  • 运行 use_ssl no 切换到 HTTP (http://[服务器名].[本地 TLD]http://[ip 地址])。
  • 运行 use_ssl yes 切换到使用自签名证书的HTTPS(https://[服务器名].[本地TLD]https://[ip地址])。查看上面的HTTPS与自签名证书了解更多细节。
  • 一旦 DNS 恢复,将 使用 SSL/TLS 设置回_严格_以获得完整的安全性。

重定向

当您访问 http://[服务器名].[本地 TLD] 时,重定向行为取决于您的 使用 SSL/TLS 设置:

:::

  • :您将被重定向到 https://[服务器名].[本地TLD]。即使互联网连接断开,这仍然有效。

  • :HTTP URL 将直接加载,无重定向或加密。

提示

重定向仅在您从 HTTP URL 开始时才有效,而不是 HTTPS URL。

自定义证书

自定义证书允许您使用自己的 SSL 证书,如由商业证书颁发机构签发的证书或域的通配符证书来保护 Unraid WebGUI

A custom certificate is any SSL certificate that you provide and manage yourself, rather than one generated by Unraid or Let's Encrypt. This is useful if you want to use your own domain name, a wildcard certificate, or integrate with your organization's PKI infrastructure.

When 使用自定义证书,您有责任...
  • 从可信的证书颁发机构(CA)采购证书
  • 管理所选域的 DNS 记录
  • 根据需要上传和更新证书
  • 确保证书与服务器的域名匹配(在主题或主题备用名称字段中)

如果您的证书无效或与服务器的 URL 不匹配,Unraid 将删除它并恢复为默认证书。

HTTPS 配合自定义证书(可选的 Unraid Connect 远程访问)

通过自定义证书访问 HTTPS - 点击展开/折叠
  1. 转到设置 → 管理访问
  2. 使用 SSL/TLS 设置为_是_。
  3. 本地 TLD 设置为证书主题中的域名。
  4. 访问服务器地址为 https://[服务器名].[本地TLD](例如,https://tower.mydomain.com)。您必须管理此URL的DNS。
  5. 将您的证书上传到 /boot/config/ssl/certs/[服务器名]_unraid_bundle.pem
  6. 证书必须对 [服务器名].[本地 TLD] 或通配符 *.[本地 TLD] 有效(其中 [本地 TLD] 与您在 本地 TLD 字段中输入的完全相符)。
    • 域必须出现在主题或主题备用名称字段中(Unraid 6.10.3+ 支持 SANs)。
    • 如果证书不匹配,Unraid 将删除它。
  7. 可选启用 Unraid Connect 远程访问 以实现安全、浏览器受信任的远程管理。
提示

对于通配符证书,请确保证书的主题备用名称或主题字段包含*.[本地TLD],其中 [本地TLD] 是您在管理访问中输入的确切值。

SSL 故障排除和高级配置

本节介绍了一些关于使用 myunraid.net 证书的常见 SSL 相关问题和高级配置选项,无论您是否安装了 Unraid Connect。

DNS 重绑定保护

DNS rebinding protection is a security feature on many routers that prevents public DNS entries from resolving to local IP addresses. This helps protect your network from certain attacks, but can cause issues when trying to use SSL certificates for local access to the Unraid WebGUI.

如果在尝试提供 SSL 证书时遇到DNS重绑定错误(例如,点击 提供 按钮后),请考虑以下步骤:

  • 在错误信息上点击 确定,等待2至5分钟,然后重试。
  • 如果错误仍然出现,请检查路由器设置中与“DNS重绑定保护”或类似术语相关的选项。
  • 允许对 myunraid.net 域进行DNS重绑定。
  • 请记住,DNS更改需要时间传播,因此在更新后可能会再次看到错误。

具体步骤可能根据您的路由器型号和固件而有所不同。

当DNS失效时访问服务器

SSL 开启并使用 myunraid.net 证书时,通常通过一个完全限定域名(FQDN)访问 Unraid 服务器,例如:

https://ip.yourpersonalhash.myunraid.net

或者,如果您使用自定义HTTPS端口:

https://ip.yourpersonalhash.myunraid.net:<https_port>

这确保您正在使用有效的SSL证书进行安全访问。不过,如果互联网连接中断且浏览器尚未缓存DNS条目,您可能会失去对WebGUI的访问。

如果您失去了DNS或互联网访问:

  • 如果使用SSL/TLS设置为,请尝试访问您的服务器:

    https://[servername].[localTLD]

    或者使用自定义端口:

    https://servername.[localTLD]:<https_port>

  • 如果这不起作用,或者 使用SSL/TLS 设置为 严格

    1. 使用telnet、SSH 或直接连接的键盘/显示器登录到您的服务器。
    2. 运行命令: 
      use_ssl no
    3. 您现在可以在以下位置访问 WebGUI 
      http://<ip_address>
      或者,如果使用自定义端口: 
      http://<server_ip>:<http_port>
      (注意:这使用的是HTTP,而不是HTTPS。)

互联网访问恢复后,前往设置→管理访问并将 使用SSL/TLS 设置回 严格 以重新启用本地SSL。

禁用本地访问的SSL

如果您希望在受信的家庭网络上使用简单的HTTP连接,或面临 SSL 证书提供、DNS重绑定或浏览器兼容性的问题,应禁用本地访问的 SSL

要禁用本地访问的 SSL

  1. 在 WebGUI 中,转到 Settings → Management Access
  2. 使用SSL/TLS 设置为
  3. 点击 应用

此更改还将禁用远程访问功能,因为 SSL 对于安全的远程连接是必要的。

注意

禁用SSL意味着你的WebGUI将通过未加密的HTTP访问。这会将你的登录凭证和会话数据暴露给任何在你本地网络上的人,除非你对你的网络安全性有信心且不需要远程访问,否则不推荐这样做。为确保最佳安全性,请尽可能保持启用SSL

备注

SSL management is a core feature of Unraid and does not rely on the Unraid Connect plugin. You can disable SSL without affecting other Unraid functionality.