1. Főoldal
  2. Támogatás
  3. SSL/TLS tanúsítványok telepítése
  4. SSL/TLS tanúsítvány telepítése NAS Synology-ra

SSL/TLS tanúsítvány telepítése NAS Synology-ra Logo Synology

Az alábbi leírásból megtudhatja hogyan szükséges telepíteni az SSL tanúsítvány a NAS Synology-ba, általánosságban bármilyen NAS-ra vagy hálózati tárhelyre. A tanúsítványt használja az adminisztráció biztonságossá tételére, a NAS-szal való kommunikációra, vagy adatátvitelre NAS-ra, vagy annak webes szolgáltatásaihoz.

Általános lépések az SSL tanúsítvány bekapcsolására és telepítésére a NAS-on

Az SSL tanúsítvány használatához két kulcsra van szüksége - privát (magán) és nyilvánosra. A privát kulcsot a tanúsítvány kérelem (CSR) előtt hozza létre; a nyilvános kulcsot a hitelesítő hatóság kapja meg az Ön CSR requestje alapján és berakja azt a későbbi SSL tanúsítványba.

A NAS és a hálózati eszközök legnagyobb nehézsége a CSR request létrehozása. Nem mindegyik eszköz tartalmaz támogatás CSR request létrehozására, és feltélezi a már kész SSL tanúsítvány és annak privát kulcsának importját.

A CSR requestet különböző módokkal létrehozhatja, a következő bekezdésekben a legegyszerűbbeket mutatjuk be ezek közül.

Privát kulcs és CSR request létrehozása

A tanúsítvány kérelmet különböző módokkal létrehozhatja; ajánlott azonban a privát kulcs és a CSR létrehozása a NAS-ban, vagy lokálisan; semmilyen esetben se ajánlatos valamilyen webes privát kulcs vagy CSR generátorral létrehozni azt. Ezeknél meg van a kockázata, hogy a privát kulcshoz más is hozzájut.

Privát kulcs és CSR létrehozása OpenSSL-ben

Amennyiben Linux vagy más Unix rendszerű számítógépet vagy hálózatot használ, úgy a rendszerben elérhető lesz az OpenSSL program. Ennek segítségével a privát kulcsot és a CSR-t két lépésben létrehozhatja. Nagy előnye a megadott adatok átláthatósága, amelyben mindent azt ellenőrzése alatt tarthat. A kiexportált fájl ideális formátuma számunkra a PEM végződésű Base64.

A privát kulcs és CSR generálásának folyamatáról az OpenSSL-ben hamarosan részletes bejegyzést teszünk közre blogunkban.

Privát kulcs létrehozása Windowsban

A Windows operációs rendszereiben szintén lehetőség van privát kulcs és CSR request generálására, azonban a rendszer ezek bináris formátumaival ddolgozik, amelyekkel a SAN-ok gyakran nem értik meg egymást. A kulcsok bináris formátumát azonban könnyen átviheti text formátumba OpenSSL-ben. Ennek lépéseiről hamarosan magazinunkban bővebb leírással szolgálunk.

Privát kulcs létrehozása a NAS-ban

Utoljára a legbiztonságosabb és legegyszerűbb módot mutatjuk be, vagyis priv. kulcs és CSR létrehozását a NAS-ban. Amennyiben a NAS régebbi operációs rendszert használ, amelyben nem lehetséges CSR létrehozásra a varázslóban (lsd. következő bekezdés), úgy a privát kulcsot és a CSR-t létrehozhatja a szerveren is az OpenSSL segítségével.

A lépések ugyanazok, mint egy bekezdéssel feljebb, a különbség mindössze a NAS-ra való kapcsolódás. A NAS-ra nem webes felületen csatlakozik, hanem SSH-n vagy telneten. Ezen protokollokat a NAS-nak támogatni kell. A NAS Synolgyban az OpenSSL szintén rendelkezésére áll.

A Windosban az SSH-hoz ajánljuk a PuTTY klienst, amellyel SSH engedéllyel csatlakozik a NAS-ra.

A privát kulcsot az alábbi parancsokkal generálhatja ki/p>

openssl genrsa -nodes -out server.key 2048

CSR-t az új privát kulcsból kigenerálja az alábbi parancs

openssl req -new -key server.key -out server.csr

Az OpenSSL ekkor rákérdez a CSR request adataira. Szükség kitölteni legalább a Common name részt, ami a domain, amelyet a NAS-hoz fog használni (pl. synology.valami.hu), és a Country részt (pl. HU). A létrejövő CSR request-et helyezze be a SSLmarket adminisztrációjába.

A Synology a NAS-ban OpenSSL-t és Apache-t használ (a webszerver üzemeltetésére), így hát nem csak a CSR generálása, de az SSH (kézi) beállítása is megfelel az útmutatónknak Segítség az SSL-hez: Tanúsítvány telepítése Apache-ra SSH-n keresztül.

Tanúsítvány telepítése régebbi DSM verziókra

A régebbi verzióju DSM rendszer lehetővé teszi a kulcsok és tanúsítványok importját a NAS-ba, mégha a CSR request nem is szükséges a varázslón keresztül létrehozni.

Amennyiben a NAS-ban ez a párbeszéd nincs jelen, a tapasztaltabb megtalálhatja az alapértelmezett privát kulcsot és a meglévő tanúsítványt a NAS-ra, és felülírja ezeket a fájlokat az új tanúsítvánnyal. A NAS tanúsítványa valószínűleg a  /usr/syno/etc/ssl, nebo /usr/local/ssl/server könyvtárban lesz.

NAS Synology s DSM 7.0

A DSM a Synology NAS operációs rendszere, a grafikus felület, amelyen a NAS-t kezeljük és a böngészőben vezéreljük.

SSL tanúsítvány telepítése Synology-ra

A DSM 7.0 jelenlegi verziójában már lehetőség van CSR létrehozására a varázsló segítségével. Miután befejezte a varázslót, és létrehozta a CSR-t, azt a privát kulcsmal együtt letölti a számítógépre. A CSR-kérelmet az SSLmarket adminisztrációba helyezi, amit a tanúsítvány kiadásához használják; feltölti a privát kulcsot, amikor importálja azt a NAS-ba, ami a tanúsítványhoz van használva.

Javaslom, hogy a privát kulcsot mentse le egy biztonságos helyre, de az elvesztése sem jelent problémát - a tanúsítványt ingyenesen újra kiállítjuk (reissue).

Kapcsolódás a NAS-hoz

Először jelentkezzen be a NAS-ba, majd keresse meg a Beállítások menüt, és válassza a Biztonság lehetőséget.

synology - nastavení
synology - biztonság
Nyissa meg a biztonság opciót

CSR generálása a varázslóban

Amennyiben a CSR request nincs előre kigenerálva, úgy megteheti ezt a varázslóban, amelyet megtalál a  Vezérlőpult > Biztonság > Tanúsítvány > Beállítás > Haladó > Tanúsítvány létrehozása  alatt. Itt létrehozhat egy tanúsítványkérést (CSR), adja meg a jól ismert adatokat, válassza a 2048-as bitmélységet, és hozza létre a kérést.

synology - CSR Creation Wizard dialog
Párbeszédablak a CSR létrehozásához

A létrehozás után a kérés letölthető a számítógépre a ZIP archívum-ban, a privát kulcsával együtt. A privát kulcsról biztonsági másolatot készíthet, majd az SSLmarketből az SSL-tanúsítványával együtt importálhatja azt.

SSL tanúsítvány és privát kulcs importja

Ha már van SSL-tanúsítványa, könnyen importálhatja azt. Ez a lehetőség a Biztonság > Tanúsítvány > Hozzáadás majd az Importálásnál elérhető.

Synology - Option to import a certificate
Synology - Tanúsítvány importjának lehetősége

Miután az importálásra kattintott, a tanúsítvány 3 részét helyezze be. Már rendelkezik a privát kulccsal (a fentiekben leírtak szerint), a tanúsítványt az SSLmarket.hu küldte a szövegfájlba, az "közbenső tanúsítványt" ugyanabban az üzenetben találja meg, mint az új tanúsítványt. Az intermediate tanúsítvány a Synologyban is szükséges a tanúsítvány megbízhatóságához. 

Synology - Option to import a certificate
Import párbeszédablaka - válassza ki a kulcsot, tanúsítványt és az Intermediate tanúsítványt

Intermediate tanúsítvány (közbenső tanúsítvány) és a megbízhatóság

Ha nem importálja, akkor problémák lesznek az ismeretlen tanúsítványkibocsátóval (különösen a mobiltelefonokon), és az SSL-tanúsítvány nem lesz megbízható.

Untrusted certificate
Nem megbízható SSL tanúsítvány - hiányzik a kibocsátó hitelesítő hatóság tanúsítványa

Befejezés és a NAS újraindítása

Az SSL tanúsítvány behelyezése után a NAS webrész újraindul, és az új tanúsítványt az újraindítás után használatba lép.

Hasznos volt Önnek ez a cikk?