威联通qnap在没有80和443端口的情况下，怎么申请myqnapcloud.cn域名的免费ssl证书

0、适用范围

本文主要是为了想保留威联通官方送的xxxxx.myqnapcloud.cn的域名，又不想花钱买证书的的人。

有自己的域名，不用威联通域名的，有很多教程，请站内搜索。

愿意花钱买证书的可以直接在威联通的证书商店里购买，大概100元/年，不用折腾，安全稳定。

不愿意花钱，但选了全球域名的(myqnapcloud.com)的，也可以直接在威联通系统里申请letsencrypt免费证书，自动续期，也不用折腾。

如果80或者443端口没有被运营商封闭，其实也可以在威联通系统里直接申请cn域名的letsencrypt证书，只是位置比较隐蔽。可以参考本站文章

另外也可以试试更换根证书的方法，记得做好备份

以上方法都不行再考虑用本文方法。

1、参考:

本文主要参考了 “OpenWrt 在没有80和443端口、不能dns验证的情况下为自己的域名申请免费ssl证书” 一文。如果家里有openwrt软路由可以直接用此文中的方法申请。

2、缺点:

1、采用的zerossl免费证书需要三个月续期一次。按说可以用脚本续期，但我还没折腾。

2、我自己测试，采用ssl连接后，连接效率大幅度下降，特别是用qfile或者webdav直接看nas上的电影文件，进度条拖动受影响。不知道官方的证书会不会。

接受不了以上问题的可以pass了。

3、方法

3.1 原理

let's encrypt、zerossl等证书发行方生成证书很容易，比较麻烦的是验证该域名确实是你的，不然的话，你可以随便为某个域名生成证书，岂不是天下大乱？

验证的方法有好几种，比如let's encrypt就有三种:

一是standalone模式，就是通过http验证，也就是80端口验证，通过临时在你的主机上架设一个web服务器，然后证书发行方通过80端口访问该服务器，通过应答，证明这个域名确实是在你手里。不过国内网络大部分封印了80端口，此法基本不通。

二是dns模式，要是用的阿里等域名解析服务，可以采用这种方式。但xxxxx.myqnapcloud.cn这个域名qnap没有给用户对应的信息，也没法用。

三是alpn模式，通过https验证，方法和一的一样。虽然我看官方文档没有明说，但应该是必须通过443端口验证。我怀疑qnap的系统设置里用的也是这种方式。有些地方的网络只封了80端口，没有封443端口。我家广州电信，实测443端口也被封了。此路也不通。

虽然以上三种方式都不行，但zerossl支持第四种验证方式:邮件验证。

当然不是什么邮件都可以，必须是这个域名对应的特殊邮箱，比如admin@xxxxx.myqnapcloud.cn。所以，我们必须要搭建一个邮件服务器，而且smtp协议的25端口必须要通，还好，我测试了我家网络25端口确实是通的。

3.2 搭建邮件服务器

首先一定要配置路由器的25端口映射到qnap的nas上，25端口必须直通互联网。各家路由器配置方法大同小异。

其次，通过Container Station建立一个docker容器，用于接收邮件。在Container Station创建一个应用程序。

收邮件的docker

version: '3'

services:

qnapzerossl:

image: magicdog20/qnap-zerossl

container_name: qnap-zerossl

restart: unless-stopped

volumes:

- /share/Container/qnap-postfix/admin:/home/admin

environment:

- DOMAIN=你的域名.myqnapcloud.cn

ports:

- "25:25"

这个镜像是我自己编译的，alpine+postfix，配置简单粗糙，只能接受邮件。支持x86和arm处理器。注意要修改自己的域名和你自己nas里接收邮件的文件夹(我这里设置的是/share/Container/qnap-postfix/admin)。

最后，测试能否正常接收邮件。通过你的163邮箱发送一封邮件给admin@你的域名.myqnapcloud.cn。发完后等一会，查看目录/share/Container/qnap-postfix/admin下是否多了一个文件，查看内容是否是你刚才写的内容。如果这步通了，说明你的邮件服务器已设置好了。

3.3 在zerossl网站上申请证书

在zerossl上注册一个账号，以你的域名申请一个新的证书

以cn域名申请证书

选择邮件验证，邮件地址选择admin@xxxxx.myqnapcloud.cn

以邮件验证域名，邮件地址选择admin@你的域名.myqnapcloud.cn

zerossl会向这个邮箱发送一个验证邮件

验证邮件已发送

在你的nas的邮箱里用文本方式查看这封邮件，其中有验证地址和验证码

验证地址和验证码

按照说明的网址填入验证码，验证成功。

验证成功

然后就可以回到zerossl下载证书了。

3.4 安装证书

下载的证书一般有三个文件certificate.crt，private.key，ca_bundle.crt

在qnap的控制台->系统->安全->ssl证书和私钥中，选择替代当前证书

导入下载的证书

将三个文件分别填入

导入证书

应用成功后就可以看到证书生效了。

证书生效

配置路由器的5001端口映射到nas的5001端口(具体哪个端口可以在qnap系统中自定义)，然后就可以访问https版的管理界面了。

如果设置了web服务器和webdav服务，也可以正常使用证书。甚至网内的电脑使用rdp远程桌面服务，都可以用这个证书。

注意:建议申请完成后关闭25端口映射，并关闭该docker。

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～