虽然，Chrome 说未来将不再为 HTTPS 添加绿色的安全两个字，但强迫症不能忍现在的不安全三个字啊。

嗯，先来看一下正经的 HTTPS 是什么样子的：

比起不安全，是不是有一种瞬间高大上感觉？

那么问题来了：

如何为「远程访问」的群晖 DS218+ 添加 HTTPS 支持呢？

情况有点复杂，本来 DSM 里面有专门的功能，可以通过免费的 Let’s Encrypt 证书来完成 HTTPS 的支持，但是由于国内的运营商普遍封锁了 80 端口，于是这个功能不可用。

所以我们需要使用别的方法。

这样还要分两种情况：

• 如果你有一枚真.域名，能开启 HTTPS 支持

.com、.me、.net 随意什么域名，就可以实现 HTTPS 了。

• 如果你没有域名，不能开启 HTTPS 支持

买一个，或者用群晖自带的 xxx.synology.me 配合 Let’s Encrypt 证书使用。但无法开启 HTTPS 支持，因为那个域名不是你的，无法通过验证

▍设置使用 xxx.synology.me 来访问你的群晖

先来说如何设置使用 synology.me 吧，毕竟这个是零成本最简单的方法了，可惜的是不支持 HTTPS。 并且同样支持 HTTPS。

在 控制面板 中的 外部访问 中，有一个 DDNS 功能，在服务提供商里，有非常多的第三方动态域名服务，Synology 是群晖提供的 DDNS 服务，居然提供了非常多的个性域名可以选择，所以挑一个顺眼的吧。

注意只能添加一个 Synology 的服务，这里以 synology.me 为例。

然后在输入主机名称，就是 xxx.synology.me 里面的 xxx 了，然后勾选同意服务条款，确定就完成了，非常简单。

以后，你就可以在世界任何地点使用任何网络通过 xxx.synology.me:5000（由于 80 口被封，无法自动跳转，需要手动添加 :5000）访问你的群晖了。

不过还是要注意一下，你需要在路由器设置页面上开启 5000 端口的映射，这个部分需要注意的是 IP 地址填入群晖的局域网地址，源端口与目标端口都填入 5000 就好了。

（可以同时将 5001 也映射了，HTTPS 需要用到）

创建 synology.me 证书

感谢 @Waydeen 提醒，群晖整合了自动创建 synology.me 证书，对于没有域名的同学来说，这个方案首选。

在 3 域名处，输入你的 xxx.synology.me，然后选择一个邮箱，备选留空，点击下一步就完成了，无需验证域名。

利用 synology.me 实现自有域名的 DDNS 功能

由于 xxx.synology.me 已经实现了自动更新公网 IP 功能，所以我们只需要将自己的域名设置一个 CNAME 记录指向 xxx.synology.me 就行了，无需设置第三方 DDNS 服务。

▍用真域名、真证书，使用 HTTPS 来远程访问你的群晖资源

假设你已经有了域名，并且会设置域名解析，然后开始下面的步骤。

免费获取 Let’s Encrypt  证书

一般情况下，使用 Let’s Encrypt 需要命令行来操作，青小蛙是比较反感面向普通用户使用命令行的，于是找来了网页工具 ZeroSSL，一站式解决生成密钥、请求文件、证书生成全套流程，你只需要进行一下域名验证即可。

备注：对于直接使用 ZeroSSL 生成私钥不放心的同学，可以自己生成私钥，这里不再讨论。

打开 ZeroSSL 后，填入邮箱、要使用的域名，勾选 DNS verification，勾选两个 Accept：

点击 NEXT 后会弹出一个问题：“Include www-prefixed version too?”，这是在问要不要生成 www 前缀的证书，我们不需要，点 No 就行了。

稍等片刻，ZeroSSL 会生成 CSR，记得下载或者复制保存好，再第一次 NEXT，会生成 账号密钥（非证书密钥），保存下来（未来续签证书会用到），然后第三次点击 NEXT。

正常情况下会要求你进行 DNS 域名验证，你需要添加一个 TXT 记录，这里默认你会，如果你不会…

点击 NEXT 后，如果看到这个：

恭喜证书完成。赶紧把下面的 crt.txt 和 key.txt 下载回来，这个用得到。

（如果提示 CAA 错误，尝试给你的域名添加 CAA 记录，Let’s Encrypt 的 CAA 为 letsencrypt.org）

在 ZeroSSL 的任务就完成了，我们返回 DSM。

设置证书

在 DSM 的控制面板 > 安全性 > 证书中，可以添加新证书：

中间证书在这里下载。

这还没完，需要继续

最后，在 控制面板 > 网络 > DMS 设置中，打开以下两个功能：

终于完成了。

看着绿色的 HTTPS 是不是心里美滋滋？

最后提醒：由于 Let’s Encrypt 的证书有效期只有 3 个月，而 80 口被封导致无法自动续签，所以 3 个月到期前还需要前往 ZeroSSL 网站进行重复续签操作，还记得上面提到的保留的 CRS 和 账号密钥 么？直接填入 NEXT 就好了。

至此，就可以在远程网络下使用自己的 HTTPS 域名访问群晖啦。

（教程完）

青小蛙在写这篇教程的时候是边操作边记录，所以肯定会有一些遗漏，如果你在实践过程中碰到问题，可以留言提问。

相关阅读

• 群晖 DS218+ 亚马逊黑五特价，历史低价
• 闲置 Android 设备做摄像头，在群晖 Surveillance Station 中实现智能监控
• 我的服务器在哪儿？在群晖里折腾 Plex Media Server 媒体播放中心
• 勒索病毒来临，如何为群晖 DSM 系统开启账号二次验证
• 618 正版软件大促 5 折起，80+ 款软件特价，51 款历史低价

[ 点击前往获取链接 ]

从时间来看，应该上线有 10 来天了。

越来越多的网站已经全面 https 化，包括小众软件，也在前不久全站跳转了 https，而作为这个地球上最大的卖火车票网站，12306 居然长期让用户自己安装根证书…

这种潜在的安全风险是十分巨大的，数据泄露、钓鱼网站、财产损失，都可能会通过一张小小的虚假证书做到。

虽然 12306 首页还挂着让用户下载安装根证书的链接，但已经不重要了，这事要为 12306 点个赞，这就是魔幻主义呀。

另外，不看不知道，青小蛙推荐过超过 10 款买火车票工具了：

• 订票助手 – Mac 上的开源 12306 购票软件[macOS]
• 如何在 12306官网 自动刷票，捡漏，购买火车票
• 铁路12306 – 火车票购票官方手机版[iPhone/Android]
• 小鱼版 12306 订票助手 .Net 版 – 可以管理订单、联系人
• 两款网上订票工具帮你在 12306 订到火车票
• 12306 辅助登录小工具 – 帮你登陆火车票订票网站
• 德广火车票助手 – 12306.cn 火车票免验证码自动登录工具

其实还有一些太过久远了，可能都失效了，那么除了 12306，你是怎么买火车票的呢？

相关阅读

• 12306 订票助手 – 火车票自动订票 Chrome 扩展
• 两款网上订票工具帮你在 12306 订到火车票
• 小鱼版 12306 订票助手 .Net 版 – 可以管理订单、联系人
• 12306 辅助登录小工具 – 帮你登陆火车票订票网站
• 12306 购票助手 – 开源分布式多账号购票，微信钉钉通知

[ 点击前往获取链接 ]

然而这样严重降低效率，青小蛙也是忍了很久。

这里 提供了一个针对 Chrome 60+ 的技巧，能够让证书重回地址栏：

1. 打开 Chrome，在地址栏输入 chrome://flags/#show-cert-link
2. 点击 启用
3. 重启 Chrome 浏览器

然后，你就能在地址栏上重新看到证书链接啦。

相关阅读

• 畅邮（DM Pro）- 一款强悍、纯净而稳定的重量级电子邮箱客户端（支持分发、追踪）[Windows]
• Apple 教你 16 种 iPhone 7 拍照技巧，人人都是摄影师
• QT Address Bar – 窗口地址栏增强工具
• Copy Link Address – 快速拷贝网页链接[Chrome]
• 四款其貌不扬内有乾坤的扩展[Chrome]

[ 点击前往获取链接 ]

感谢 Telegram 好友 @Jqs7  同学的推荐。

Caddy 存在的意义在于不需要繁琐的编译 Nginx、Apache，只需要运行 Caddy 就完成了 HTTP 服务器的搭建，如果你有自己的域名，还能自动配置 Let’s Encrypt 实现 HTTPS 加密，使用的是 HTTP/2 协议。这里有一篇 @Jqs7 同学的译文：用 Caddy 搭建 ownCloud 服务，感兴趣的同学可以参考下，小众介绍过 ownCloud，可以用来创建属于自己的网盘服务。

那么，Caddy 有多简单呢？来围观下官方提供的 28 秒创建 HTTPS 服务视频：(审核中…)

要实现上面的效果，只需要在 Caddy 的目录下创建 Caddyfile 文件，里面写上域名就行了…

最简单的教程

1. 下载 Caddy
2.  在 Caddy 目录放置 index.html 文件
3.  打开浏览器，输入 127.0.0.1:2015
4.  完成

如果你是一个网页设计师，那 Caddy 比那些一键安装包要方便多了；如果想在 VPS 搭建一个静态服务器，用 Caddy 比 Nginx 更加简便。

而如果你想更换端口、开启日志、开启 git、markdown 之类的，就需要配置下 Caddyfile 文件了。

比如，你可以让 Caddy 定期去 git pull 项目库，让其自动更新，你只需要管好 git 就行了。你也可以直接写 Markdown，Caddy 自动帮你渲染成 HTML…

呃，其实这篇文章不是一篇教程，只是一篇介绍文字，如果你想有更复杂的功能，需要去研究 Caddy 文档，就青小蛙这种技术门外汉来看，入门不难，至少比 Nginx 简单多了。

相关链接: https://caddyserver.com/

相关阅读

• FrankenPHP – 一个现代化的 PHP 应用服务器｜用 Go 编写
• Piping Server – 支持 curl 的轻量级开源文件传输工具
• Web Server for Chrome – 用 Chrome 充当临时 HTTP 服务器
• Server Mono – 适合终端使用，开源等宽字体
• ScreeGo – 开源、可自托管，在线多人屏幕分享工具

[ 点击前往获取链接 ]

青小蛙曾经用过好几年的 StartSSL 服务，为此还付费使用过，一年 59.9 美金，你可以随意签发证书。不过近两年证书普遍降价，再加上免费的 Let’s Encrypt 和即将到来的 HTTP/2，互联网的全面 HTTPS 化将在不久的将来实现…届时不会再有劫持，不会再有干扰…总之看起来很美。

Let’s Encrypt 是一个将于2015年末推出的数字证书认证机构，将通过旨在消除当前手动创建和安装证书的复杂过程的自动化流程，为安全网站提供免费的SSL/TLS证书。

Let’s Encrypt 是由互联网安全研究小组（ISRG，一个公益组织）提供的服务。主要赞助商包括电子前哨基金会，Mozilla基金会，Akamai以及思科。2015年4月9日，ISRG与Linux基金会宣布合作。

那么，现在使用 Let’s Encrypt 则是一个非常经济实惠又安全的选择，于是青小蛙参考 How To Secure Nginx with Let’s Encrypt on Ubuntu 14.04 这篇文章，有了这篇教程。

必备条件：

1. 有一台 VPS，推荐 HH 的 VPS 产品；
2. 有一个域名(可以在 HH 注册)；
3. 想加密自己的网站

实现结果：

用户通过 TLS/SSL 加密访问你的网站，而后台实现自动续签 Let’s Encrypt 证书。

开始

教程基于 Ubuntu 14.04 系统，不够其他 Linux 版本都是类似的，用你熟悉的系统即可。

第 1 步：安装 Let’s Encrypt 客户端

装前准备，更新系统和安装 git & bc：

apt-get update
apt-get -y install git bc

克隆 Let’s Encrypt 到  /opt/letsencrypt:

git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

第 2 步：获取证书

首先关闭 Nginx：

service nginx stop

并且检查一下 80 端口没有被占用：

netstat -na | grep ‘:80.*LISTEN’

运行 Let’s Encrypt:

cd /opt/letsencrypt
./letsencrypt-auto certonly -a webroot –webroot-path=/usr/share/nginx/html -d example.com -d www.example.com

注意：Let’s Encrypt 需要超级用户权限，如果你没有使用 sudo 命令，可能会让你输入密码。

之后会出现图形界面输入邮箱、条款、域名等信息:

支持多域名，只需要在第三张截图里用空格或者英文逗号分隔就好了。

目前 Let’s Encrypt 没有 EV 证书与 泛域名证书的计划。

IMPORTANT NOTES:

• If you lose your account credentials, you can recover through e-mails sent to domain@appinn.com
• Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2016-05-15. To obtain a new version of the certificate in the future, simply run Let’s Encrypt again.
• Your account credentials have been saved in your Let’s Encrypt configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let’s Encrypt so making regular backups of this folder is ideal.
• If like Let’s Encrypt, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

看到这一段，就正常证书已经签发成功，位于 /etc/letsencrypt，注意备份。

如果使用国内 VPS，此处可能会由于 DNS 问题出错，可以尝试更换 VPS 的 DNS 为第三方，比如 8.8.8.8。

每一个域名都会自动生成四个文件，位于 /etc/letsencrypt/archive/domain 目录下：

cert.pem: 域名证书
chain.pem: The Let’s Encrypt 证书
fullchain.pem: 上面两者合体
privkey.pem: 证书密钥

第 3 步：配置 Nginx

有了域名证书，就开始配置 Nginx 了，这部分比较略。

打开对应网站的配置文件，一般在 /etc/nginx/sites-available/default 或者 /usr/local/nginx/conf/ 中，试你自己的情况。

server {

listen 443 ssl;
server_name appinn.com;
…

ssl on;
ssl_certificate /etc/letsencrypt/live/appinn.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/appinn.com/privkey.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ‘EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH’;

…

}

注意修改红色的部分为你的域名

如果你想开启全站 https，需要将 http 转向到 https，再添加一个 server 就好了：

server {
listen 80;
server_name appinn.com;
return 301 https://$host$request_uri;
}

注意以上配置文件需要根据实际情况修改。

保存，重启 Nginx

service nginx restart

此时，打开你的域名比如 https:// 就能看到绿色的地址栏了。

第 4 步：自动续签证书

Let’s Encrypt 证书只有 90 天的有效期，这和之前按年使用的商业证书有些区别，所以我们还需要设置自动续签，好让证书一直有效。

安装 Webroot 插件

这是一个可以不用停止 Web 服务就能让 Let’s Encrypt 验证域名的插件，再次打开 Nginx 配置文件，在 ssl 下面添加：

location ~ /.well-known {
allow all;
}

保存。

使用命令行续签证书

/opt/letsencrypt/letsencrypt-auto renew

创建定时任务：

crontab -e

添加下面一行，让每周一早上 2 点 30 分运行一次，并记录到日志文件中。

30 2 * * 1 /opt/letsencrypt/letsencrypt-auto renew >> /var/log/le-renewal.log

结束

至此，在 Nginx 上使用 Let’s Encrypt 的配置与续签全部完成，今后就完全不需要打理这一部分了，HTTPS 将默默工作。目前善用佳软 已经在使用 Let’s Encrypt，可以围观一下：https://xbeta.info

小众软件还有一枚有效期内的泛域名证书，目前还没有使用 Let’s Encrypt，是的，你可以用 https://inloveinparis.com 来访问小众软件，不过由于历史以及 CDN 遗留问题，还没有全站切换过去，等待 HTTP/2 吧。

不过发现频道(https://faxian.appinn.com)已经 HTTPS 了哦。有疑问欢迎留言反馈。

相关阅读

• 免费内网穿透工具；树莓派利用网云穿内网穿透实现建站与维护，无需服务器
• HyperApp 2.0 可以利用 Docker 部署「更多更多」的应用了
• Caddy – 最简单的支持 HTTP/2 的网页服务器[Win/Mac/Linux]
• OpenCat 团队版：为团队成员提供 OpenAI API 服务
• Lima – macOS 上的 Linux 虚拟机、Docker 容器，像 WSL2 一样

[ 点击前往获取链接 ]

而我们平时使用的 Chrome 浏览器，其创新性的地址栏直接搜索简化甚至改变了人们使用搜索引擎的习惯，你不需要再去打开 Google 等搜索引擎去搜索，而直接在地址栏输入关键词即可。

这可以让你更大程度的快速离开 Google（没错，Google 的设立理念中有一条就是让用户更快速的离开 Google）。但目前的 Chrome 版本还默认使用普通搜索地址，前段时间如果你在中国大陆，搜索 “” 会出现连接中断的情况，而使用 https 搜索就完全不会出现这个问题了。

那么，如何做呢？

0.1 直接访问 https://www.google.com 会自动跳转 Google 香港，请点一下页面底部的 Google.com in English，然后再地址栏加上 https 即可。目前 https Google 搜索还是 beta 版本。

1. 首先你得使用 Chrome 浏览器，你可以在 Google Chrome 下载到标准版本，或者下载开发版本 Chromium，建议普通用户使用标准版。

2. 运行 Chrome，在地址栏右键，选择 修改搜索引擎(E)…，在打开的新页面中选择 添加(A)…，如下图

3. 输入 HTTPS Google 信息：名称与关键词随意，注意关键词可以可以让你在地址栏快速使用其他搜索引擎，比如 Https Google 的中英文搜索结果切换。下面提到。在 网址 中输入：

英文搜索：https://www.google.com/search?hl=en&q=%s

中文搜索：https://www.google.com/search?hl=zh-CN&q=%s

选择你常用的语言，点击确认，并且设置为默认搜索引擎，至此，已经可以直接在 Chrome 地址栏输入关键词进行搜索，你会发现地址栏已经有了 https，而 Google 搜索任意关键词也不会出现重置问题了。

P.S. 如果你有其他浏览器的 https google 使用方法，那么来分享给大家把。

update: Firefox 扩展：Secure Google Search / Google SSL Search via Lucifr

相关阅读

• Chrome 4.0，用扩展武装它
• Ai Search – iPhone 里的新搜索中心
• Deep Tab Search – 全文搜索已打开 Chrome 标签页内容，支持中文
• 给 Chrome 添加 OK Google 语音搜索功能
• Splash search – Unsplash 高级搜索扩展，可根据方向、颜色、亮度过滤结果[Chrome]

[ 点击前往获取链接 ]