Instalace SSL certifikátu na NAS Synology

22.4.2016 | Jindřich Zechmeister

V tomto návodu se dozvíte jednoduchý postup, jak nainstalovat SSL certifikát na váš NAS Synology, resp. na obecně jakýkoliv NAS a síťové úložiště. Certifikát využijete jak pro zabezpečení administrace, komunikaci s NASem a přenosu dat na NAS, tak pro jeho webové služby.

Obecný postup zapnutí a instalace SSL certifikátu na NAS

Pro fungování SSL certifikátu potřebujete dva klíče - privátní a veřejný. Privátní klíč si vytvoříte před žádostí o certifikát (CSR); veřejný klíč potom certifikační autorita obdrží ve vašem CSR requestu a vloží ho do budoucího SSL certifikátu.

Hlavním úskalím NASů a síťových zařízení je tvorba CSR requestu. Ne každé zařízení obsahuje průvodce pro vytvoření CSR requestu a očekává, že dojde k importu už hotového SSL certifikátu a privátního klíče.

CSR request je možné vytvořit různými způsoby a v následujícím odstavci najdete nejjednodušší z nich.

Vytvoření privátního klíče a CSR requestu

Žádost o certifikát můžete vytvořit různými způsoby; vždy doporučuji privátní klíč a CSR vytvořit na NASu nebo lokálně; v žadném případě nepoužívat webové služby generující privátní klíč a CSR. U nich nikdy nemáte jistotu, že privátním klíčem nebude disponovat nikdo jiný.

Vytvoření privátního klíče a CSR v OpenSSL

Máte-li po ruce počítač nebo server s Linuxem nebo jiným Unix systémem, bude v systému přítomen program OpenSSL. S jeho pomocí privátní klíč a CSR vytvoříte ve dvou krocích. Výhodou je přehledné zadání údajů, kdy máte vše pod kontrolou. Výstup je v pro nás ideálním formátu Base64 s koncovkou PEM.

Generování privátního klíče a CSR v OpenSSL se věnuje článek Základy práce s OpenSSL - privátní klíč a CSR.

Vytvoření privátního klíče ve Windows

V operačním systému Windows je také možné generovat privátní klíče a CSR requesty, avšak systém pracuje s jejich binárními formáty, se kterými si SANy obecně nerozumí. Binární formát klíčů však lze převést na textový formát v OpenSSL. Postup najdete v článku Základy práce s OpenSSL - export, import, převody formátů.

Vytvoření privátního klíče přímo na NAS

Jako poslední uvádím z bezpečnostního pohledu nejvhodnější postup, tedy vytvoření privátního klíče a CSR přímo na NASu. Pokud váš NAS nemá moderní operační systém umožňující vytvoření CSR v průvodci (viz další oddíl), můžete privátní klíč a CSR vygenerovat na serveru za pomoci OpenSSL.

Postup je stejný jako v odstavci výše, rozdíl je pouze v připojení na NAS. Na NAS se nepřipojíte přes webové rozhraní, ale přes SSH nebo telnet. Tyto protokoly by měl dobrý NAS podporovat. Na NASech Synology je OpenSSL k dispozici též.

Pro SSH na Windows doporučuji klienta PuTTY, se kterým se připojíte na NAS s povoleným SSH přístupem. 

Privátní klíč vygenerujete pomocí příkazu 

openssl genrsa -nodes -out server.key 2048

CSR vygenerujete z nového privátního klíče příkazem

openssl req -new -key server.key -out server.csr

OpenSSL se vás zeptá na údaje pro CSR request. Je nutné vyplnit minimálně Common name, což je doména, kterou budete pro NAS používat (např. synology.pepa.cz), a Country (např. CZ). Vytvořený CSR request následně vložíte do administrace SSLmarketu.

Synology u svých NASů používá kromě OpenSSL i Apache (pro službu webového serveru), takže nejen generování CSR, ale i nastavení přes SSH (ruční) je stejné jako v našem návodu Instalace certifikátu na Apache přes SSH.

Instalace certifikátu ve starší verzi DSM

Starší verze systému DSM by měly umožňovat import klíče a certifikátu na NAS, i když nemusí vytvořit CSR request průvodcem.

Pokud by na NASu tento dialog nebyl, může pokročilejší uživatel najít výchozí privátní klíč a stávající certifikát NASu a přepsat tyto soubory novým certifikátem. Po restartu by měl fungovat nový certifikát. Certifikát NASu bude pravděpodobně ve složce /usr/syno/etc/ssl, nebo /usr/local/ssl/server.

NAS Synology s DSM 5.0

Zkratkou DSM se označuje operační systém NASů Synology, tedy grafické rozhraní, ve kterém děláme správu NASu a přes které ho v prohlížeči ovládáte.

Povolení HTTPS pro přenos dat a webový server

Před používáním SSL certifikátu na NASu je samozřejmě nutné povolit HTTPS protokol, pokud na zařízení zatím povoleno není. Synology používá certifikáty ke dvěma účelům - jednak pro administraci a přenos dat, a též pro integrovaný webový server, který může používat HTTPS.

V anglické administraci se nastavení SSL pro administraci a přenos dat nastavuje v Main Menu > Control Panel > Network > DSM Settings. V českém prostředí ji najdete pod Ovládací panel > Síť > Nastavení DSM.

synology - nastavení SSL pro administraci

V anglické administraci se nastavení SSL pro webovou službu skrývá pod Main Menu > Control Panel > Web Services, záložka HTTP Service, zvolit Enable HTTPS connection a potvrdit. V českém prostředí ji najdete pod Ovládací panel > Webové služby > HTTP služba > Povolit HTTPS.

synology - nastavení SSL pro weby

Instalace SSL certifikátu na Synology

V aktuální verzi systému DSM 5.0 je už možné vytvořit CSR pomocí průvodce. Po dokončení průvodce a vygenerování CSR je request spolu s privátním klíčem stažen do vašeho počítače. CSR request vložíte do administrace SSLmarket a bude použit pro vystavení certifikátu; privátní klíč nahrajete při importu na NAS a bude se používat spolu s certifikátem.

Doporučuji privátní klíč zazálohovat na bezpečném místě, ovšem ani jeho ztráta není problém - certifikát vám zdarma vystavíme znovu.

Připojení na NAS

Na NAS se nejprve přihlaste, a poté vyhledejte nabídku Nastavení a v něm položku Zabezpečení.

synology - přihlášení na NAS

 Přihlášení na NAS Synology

synology - nastavení

Vyhledejte nabídku nastavení

synology - zabezpečení

 Otevřete nabídku zabezpečení

Vygenerování CSR v průvodci

Pokud nemáte CSR request vytvořen předem, můžete tak učinit v průvodci, kterého najdete pod Ovládácí panel > Zabezpečení > Certifikát > Vytvořit certifikát. Zde můžete vytvořit žádost o certifikát (CSR), zadat dobře známé údaje, zvolit bitovou hloubku 2048 a žádost vygenerovat.

synology - průvodce CSR

Dialog průvodce vytvoření CSR

Po vygenerování se žádost stáhne do vašeho počítače spolu s privátním klíčem v ZIP archivu. Privátní klíč můžete zazálohovat a následně ho naimportovat spolu se SSL certifikátem od SSLmarketu.

Import SSL certifikátu a privátního klíče

Máte-li už SSL certifikát vystaven, můžete ho velice jednoduše naimportovat. Tato možnost je pod Zabezpečení > Certifikát.

synology - importovat certifikat

 Možnost importovat certifikát

Po kliknutí na importovat vložíte jednotlivé 3 části certifikátu. Privátní klíč už máte (dle postupu výše), certifikát vám v textovém souboru zaslal SSLmarket.cz a "Střední certifikát" najdete ve stejné zprávě, jako nový certifikát. Termínem Střední certifikát označuje Synology Intermediate certifikát autority, který je nutný pro důvěryhodnost certifikátu

synology - importovat certifikat

 Dialog importu - vyberte klíče, cetifikát a Intermediate certifikát.

Intermediate certifikát (střední certifikát) a důvěryhodnost

Pokud ho nenaimportujete, objeví se problémy s neznámým vystavitelem certifikátu (zejména na mobilních telefonech) a SSL certifikát nebude důvěryhodný.

nedůvěryhodný SSL certifikát

Nedůvěryhodný certifikát - chybi zprostředkující certifikát autority.

Dokončení a restart NASu

Po vložení SSL certifikátu se webová část NASu restartuje a po restartu se již bude používat nový certifikát.

Poznámky k jednotlivým verzím DSM

Verze DSM 3.0 postrádá soubor s nastavením openssl.cnf, který má být umístěn v /usr/syno/ssl/openssl.cnf

Tento problém vyřešíte stažením zdrojového kódu OpenSSL z http://www.openssl.org/source/ a extrakcí openssl.cnf ze složky /apps/ z tar archivu do složky na vašem Synology, například do /volume1/share/.

Vytvořte složku /usr/syno/ssl a zkopírujte do ní openssl.cnf:

mkdir /usr/syno/ssl/

cp /volume1/share/openssl.cnf /usr/syno/ssl/

Dále udělejte dočasný adresář a přepněte se do tohoto adresáře:

mkdir /usr/local/ssl cd /usr/local/ssl

V této složce vytvoříte s OpenSSL privátní klíč a CSR obvyklým způsobem.

Reference:

  1. Replacing self-signed certificate on Synology Disk Station running DSM 3.x with a StartSSL certificate using command line (advanced). Dostupné z: http://abstrask.blogspot.cz/2011/04/replacing-self-signed-certificate-on.html
  2. Synology DSM Live Demo. Dostupné z: https://www.synology.com/en-us/products/dsm_livedemo