1. Domov
  2. Nápoveda
  3. Inštalácia SSL/TLS certifikátov
  4. Inštalácia SSL/TLS certifikátu na NAS Synology

Inštalácia SSL/TLS certifikátu na NAS Synology Logo Synology

V tomto návode sa dozviete jednoduchý postup, ako nainštalovať SSL/TLS certifikát na váš NAS Synology, resp. na všeobecne akýkoľvek NAS či sieťové úložisko. Certifikát využijete ako pre zabezpečenie administrácie, komunikáciu s NASom a prenos dát na NAS, tak pre jeho webové služby.

Všeobecný postup zapnutia a inštalácie SSL certifikátu na NAS

Pre fungovanie SSL certifikátu potrebujete dva kľúče - privátny a verejný. Privátny kľúč si vytvoríte pred žiadosťou o certifikát (CSR); verejný kľúč potom certifikačná autorita dostane vo vašom CSR requeste a vloží ho do budúceho SSL certifikátu.

Hlavným úskalím NASov a sieťových zariadení je tvorba CSR requestu. Nie každé zariadenie obsahuje sprievodcu pre vytvorenie CSR requestu a očakáva, že dôjde k importu už hotového SSL certifikátu a privátneho kľúča.

CSR request je možné vytvoriť rôznymi spôsobmi av nasledujúcom odseku nájdete najjednoduchší z nich.

Vytvorenie privátneho kľúča a CSR requestu

Žiadosť o certifikát môžete vytvoriť rôznymi spôsobmi; vždy odporúčam privátny kľúč a CSR vytvoriť na NASe alebo lokálne; v žiadnom prípade nepoužívať webové služby generujúce privátny kľúč a CSR. U nich nikdy nemáte istotu, že privátnym kľúčom nebude disponovať nikto iný.

Vytvorenie privátneho kľúča a CSR v OpenSSL

Ak máte po ruke počítač alebo server s Linuxom alebo iným Unix systémom, bude v systéme prítomný program OpenSSL. S jeho pomocou privátny kľúč a CSR vytvoríte v dvoch krokoch. Výhodou je prehľadné zadanie údajov, kedy máte všetko pod kontrolou. Výstup je v pre nás ideálnom formáte Base64 s koncovkou PEM.

Generovaniu privátneho kľúča a CSR v OpenSSL sa venuje článok Základy práce s OpenSSL - privátny kľúč a CSR.

Vytvorenie privátneho kľúča vo Windows

V operačnom systéme Windows je tiež možné generovať privátne kľúče a CSR requesty, avšak systém pracuje s ich binárnymi formátmi, s ktorými si SANy všeobecne nerozumejú. Binárny formát kľúčov však možno previesť na textový formát v OpenSSL. Postup nájdete v článku Základy práce s OpenSSL - export, import, prevody formátov.

Vytvorenie privátneho kľúča priamo na NAS

Ako posledný uvádzam z bezpečnostného pohľadu najvhodnejší postup, teda vytvorenie privátneho kľúča a CSR priamo na NASe. Ak váš NAS nemá moderný operačný systém umožňujúci vytvorenie CSR v sprievodcovi (viď ďalší oddiel), môžete privátny kľúč a CSR vygenerovať na serveri pomocou OpenSSL.

Postup je rovnaký ako v odseku vyššie, rozdiel je iba v pripojení na NAS. Na NAS sa nepripojíte cez webové rozhranie, ale cez SSH alebo telnet. Tieto protokoly by mal dobrý NAS podporovať. Na NASoch Synology je OpenSSL k dispozícii tiež.

Pre SSH na Windows odporúčam klienta PuTTY, s ktorým sa pripojíte na NAS s povoleným SSH prístupom.

Privátny kľúč vygenerujete pomocou príkazu 

openssl genrsa -nodes -out server.key 2048

CSR vygenerujete z nového privátneho kľúča príkazom

openssl req -new -key server.key -out server.csr

OpenSSL sa vás spýta na údaje pre CSR request. Je nutné vyplniť minimálne Common name, čo je doména, ktorú budete pre NAS používať (napr. synology.pepa.cz), a Country (napr. SK). Vytvorený CSR request následne vložíte do administrácia SSLmarketu .

Synology u svojich NASov používa okrem OpenSSL aj Apache (pre službu webového servera), takže nielen generovanie CSR, ale aj nastavenie cez SSH (ručné) je rovnaké ako v našom návode Inštalácia certifikátu na Apache cez SSH.

Inštalácia certifikátu v staršej verzii DSM

Staršie verzie systému DSM by mali umožňovať import kľúča a certifikátu na NAS, aj keď nemusí vytvoriť CSR request sprievodcom.

Ak by na NASe tento dialóg nebol, môže pokročilejší užívateľ nájsť východiskový privátny kľúč a existujúci certifikát NASu a prepísať tieto súbory novým certifikátom. Po reštarte by mal fungovať nový certifikát. Certifikát NASu bude pravdepodobne v zložke /usr/syno/etc/ssl, alebo /usr/local/ssl/server.

NAS Synology s DSM 7.0

Skratkou DSM sa označuje operačný systém NASov Synology, teda grafické rozhranie, v ktorom robíme správu NASu a cez ktoré ho v prehliadači ovládate.

Inštalácia SSL certifikátu na Synology

V aktuálnej verzii systému DSM 7.0 je už možné vytvoriť CSR pomocou sprievodcu. Po dokončení sprievodcu a vygenerovaní CSR je request spolu s privátnym kľúčom stiahnutý do vášho počítača. CSR request vložíte do administrácie SSLmarket a bude použitý na vystavenie certifikátu; privátny kľúč nahráte pri importe na NAS a bude sa používať spolu s certifikátom.

Doporučujem privátny kľúč zazálohovať na bezpečnom mieste, avšak ani jeho strata nie je problém - certifikát vám zadarmo vystavíme znova.

Pripojenie na NAS

Na NAS sa najskôr prihláste a potom vyhľadajte ponuku Ovládací panel av ňom položku Zabezpečenie.

synology - nastavenie
Vyhľadajte ponuku nastavení
synology - zabezpečenie
Otvorte ponuku Ovládací panel

Vygenerovanie CSR v sprievodcovi

Ak nemáte CSR request vytvorený vopred, môžete tak urobiť v sprievodcovi, ktorého nájdete podOvládací panel > Zabezpečenie > Certifikát > Nastavenia > Rozšírené > Vytvoriť žiadosť o podpis certifikátu (CSR). Tu môžete vytvoriť žiadosť o certifikát (CSR), zadať dobre známe údaje, zvoliť bitovú hĺbku 2048 a žiadosť vygenerovať.

synology - sprievodca CSR
Dialóg sprievodcu vytvorením CSR

Po vygenerovaní sa žiadosť stiahne do vášho počítača spolu s privátnym kľúčom v ZIP archíve. Privátny kľúč môžete zazálohovať a následne ho naimportovať spolu so SSL certifikátom od SSLmarketu.

Import SSL certifikátu a privátneho kľúča

Ak máte už SSL certifikát vystavený, môžete ho veľmi jednoducho naimportovať. Táto možnosť je pod Zabezpečenie > Certifikát > Pridať> Pridať nový certifikát > Importovať certifilkát a kliknite na Ďalší.

synology - importovať certifikat
Synology - Možnosť importovať certifikát

Po kliknutí na importovať vložíte jednotlivé 3 časti certifikátu. Privátny kľúč už máte (podľa postupu vyššie), certifikát vám v textovom súbore zaslal SSLmarket.cz a "Stredný certifikát" nájdete v rovnakej správe, ako nový certifikát. Termínom Stredný certifikát označuje Synology Intermediate certifikát autority, ktorý je potrebný pre dôveryhodnosť certifikátu.

Dialóg importu - vyberte kľúče, certifikát a Intermediate certifikát
Dialóg importu - vyberte kľúče, certifikát a Intermediate certifikát

Intermediate certifikát (stredný certifikát) a dôveryhodnosť

Ak ho nenaimportujete, objavia sa problémy s neznámym vystaviteľom certifikátu (najmä na mobilných telefónoch) a SSL certifikát nebude dôveryhodný.

nedôveryhodný SSL certifikát
Nedôveryhodný certifikát - chýba sprostredkujúci certifikát autority

Dokončenie a reštart NAS

Po vložení SSL certifikátu sa webová časť NASu reštartuje a po reštarte sa už bude používať nový certifikát.

Bol tento článok pre vás užitočný?