Instalace SSL certifikátu na NAS Synology
22. 4. 2016 | Jindřich Zechmeister
V tomto návodu se dozvíte jednoduchý postup, jak nainstalovat SSL certifikát na váš NAS Synology, resp. na obecně jakýkoliv NAS a síťové úložiště. Certifikát využijete jak pro zabezpečení administrace, komunikaci s NASem a přenosu dat na NAS, tak pro jeho webové služby.
Obsah článku
Poznámky k jednotlivým verzím DSMObecný postup zapnutí a instalace SSL certifikátu na NAS
Pro fungování SSL certifikátu potřebujete dva klíče - privátní a veřejný. Privátní klíč si vytvoříte před žádostí o certifikát (CSR); veřejný klíč potom certifikační autorita obdrží ve vašem CSR requestu a vloží ho do budoucího SSL certifikátu.
Hlavním úskalím NASů a síťových zařízení je tvorba CSR requestu. Ne každé zařízení obsahuje průvodce pro vytvoření CSR requestu a očekává, že dojde k importu už hotového SSL certifikátu a privátního klíče.
CSR request je možné vytvořit různými způsoby a v následujícím odstavci najdete nejjednodušší z nich.
Vytvoření privátního klíče a CSR requestu
Žádost o certifikát můžete vytvořit různými způsoby; vždy doporučuji privátní klíč a CSR vytvořit na NASu nebo lokálně; v žadném případě nepoužívat webové služby generující privátní klíč a CSR. U nich nikdy nemáte jistotu, že privátním klíčem nebude disponovat nikdo jiný.
Vytvoření privátního klíče a CSR v OpenSSL
Máte-li po ruce počítač nebo server s Linuxem nebo jiným Unix systémem, bude v systému přítomen program OpenSSL. S jeho pomocí privátní klíč a CSR vytvoříte ve dvou krocích. Výhodou je přehledné zadání údajů, kdy máte vše pod kontrolou. Výstup je v pro nás ideálním formátu Base64 s koncovkou PEM.
Generování privátního klíče a CSR v OpenSSL se věnuje článek Základy práce s OpenSSL - privátní klíč a CSR.
Vytvoření privátního klíče ve Windows
V operačním systému Windows je také možné generovat privátní klíče a CSR requesty, avšak systém pracuje s jejich binárními formáty, se kterými si SANy obecně nerozumí. Binární formát klíčů však lze převést na textový formát v OpenSSL. Postup najdete v článku Základy práce s OpenSSL - export, import, převody formátů.
Vytvoření privátního klíče přímo na NAS
Jako poslední uvádím z bezpečnostního pohledu nejvhodnější postup, tedy vytvoření privátního klíče a CSR přímo na NASu. Pokud váš NAS nemá moderní operační systém umožňující vytvoření CSR v průvodci (viz další oddíl), můžete privátní klíč a CSR vygenerovat na serveru za pomoci OpenSSL.
Postup je stejný jako v odstavci výše, rozdíl je pouze v připojení na NAS. Na NAS se nepřipojíte přes webové rozhraní, ale přes SSH nebo telnet. Tyto protokoly by měl dobrý NAS podporovat. Na NASech Synology je OpenSSL k dispozici též.
Pro SSH na Windows doporučuji klienta PuTTY, se kterým se připojíte na NAS s povoleným SSH přístupem.
Privátní klíč vygenerujete pomocí příkazu
openssl genrsa -nodes -out server.key 2048
CSR vygenerujete z nového privátního klíče příkazem
openssl req -new -key server.key -out server.csr
OpenSSL se vás zeptá na údaje pro CSR request. Je nutné vyplnit minimálně Common name, což je doména, kterou budete pro NAS používat (např. synology.pepa.cz), a Country (např. CZ). Vytvořený CSR request následně vložíte do administrace SSLmarketu.
Synology u svých NASů používá kromě OpenSSL i Apache (pro službu webového serveru), takže nejen generování CSR, ale i nastavení přes SSH (ruční) je stejné jako v našem návodu Instalace certifikátu na Apache přes SSH.
Instalace certifikátu ve starší verzi DSM
Starší verze systému DSM by měly umožňovat import klíče a certifikátu na NAS, i když nemusí vytvořit CSR request průvodcem.
Pokud by na NASu tento dialog nebyl, může pokročilejší uživatel najít výchozí privátní klíč a stávající certifikát NASu a přepsat tyto soubory novým certifikátem. Po restartu by měl fungovat nový certifikát. Certifikát NASu bude pravděpodobně ve složce /usr/syno/etc/ssl, nebo /usr/local/ssl/server.
NAS Synology s DSM 5.0
Zkratkou DSM se označuje operační systém NASů Synology, tedy grafické rozhraní, ve kterém děláme správu NASu a přes které ho v prohlížeči ovládáte.
Povolení HTTPS pro přenos dat a webový server
Před používáním SSL certifikátu na NASu je samozřejmě nutné povolit HTTPS protokol, pokud na zařízení zatím povoleno není. Synology používá certifikáty ke dvěma účelům - jednak pro administraci a přenos dat, a též pro integrovaný webový server, který může používat HTTPS.
V anglické administraci se nastavení SSL pro administraci a přenos dat nastavuje v Main Menu > Control Panel > Network > DSM Settings. V českém prostředí ji najdete pod Ovládací panel > Síť > Nastavení DSM.
V anglické administraci se nastavení SSL pro webovou službu skrývá pod Main Menu > Control Panel > Web Services, záložka HTTP Service, zvolit Enable HTTPS connection a potvrdit. V českém prostředí ji najdete pod Ovládací panel > Webové služby > HTTP služba > Povolit HTTPS.
Instalace SSL certifikátu na Synology
V aktuální verzi systému DSM 5.0 je už možné vytvořit CSR pomocí průvodce. Po dokončení průvodce a vygenerování CSR je request spolu s privátním klíčem stažen do vašeho počítače. CSR request vložíte do administrace SSLmarket a bude použit pro vystavení certifikátu; privátní klíč nahrajete při importu na NAS a bude se používat spolu s certifikátem.
Doporučuji privátní klíč zazálohovat na bezpečném místě, ovšem ani jeho ztráta není problém - certifikát vám zdarma vystavíme znovu.
Připojení na NAS
Na NAS se nejprve přihlaste, a poté vyhledejte nabídku Nastavení a v něm položku Zabezpečení.
Přihlášení na NAS Synology
Vyhledejte nabídku nastavení
Otevřete nabídku zabezpečení
Vygenerování CSR v průvodci
Pokud nemáte CSR request vytvořen předem, můžete tak učinit v průvodci, kterého najdete pod Ovládácí panel > Zabezpečení > Certifikát > Vytvořit certifikát. Zde můžete vytvořit žádost o certifikát (CSR), zadat dobře známé údaje, zvolit bitovou hloubku 2048 a žádost vygenerovat.
Dialog průvodce vytvoření CSR
Po vygenerování se žádost stáhne do vašeho počítače spolu s privátním klíčem v ZIP archivu. Privátní klíč můžete zazálohovat a následně ho naimportovat spolu se SSL certifikátem od SSLmarketu.
Import SSL certifikátu a privátního klíče
Máte-li už SSL certifikát vystaven, můžete ho velice jednoduše naimportovat. Tato možnost je pod Zabezpečení > Certifikát.
Možnost importovat certifikát
Po kliknutí na importovat vložíte jednotlivé 3 části certifikátu. Privátní klíč už máte (dle postupu výše), certifikát vám v textovém souboru zaslal SSLmarket.cz a "Střední certifikát" najdete ve stejné zprávě, jako nový certifikát. Termínem Střední certifikát označuje Synology Intermediate certifikát autority, který je nutný pro důvěryhodnost certifikátu.
Dialog importu - vyberte klíče, cetifikát a Intermediate certifikát.
Intermediate certifikát (střední certifikát) a důvěryhodnost
Pokud ho nenaimportujete, objeví se problémy s neznámým vystavitelem certifikátu (zejména na mobilních telefonech) a SSL certifikát nebude důvěryhodný.
Nedůvěryhodný certifikát - chybi zprostředkující certifikát autority.
Dokončení a restart NASu
Po vložení SSL certifikátu se webová část NASu restartuje a po restartu se již bude používat nový certifikát.
Poznámky k jednotlivým verzím DSM
Verze DSM 3.0 postrádá soubor s nastavením openssl.cnf, který má být umístěn v /usr/syno/ssl/openssl.cnf.
Tento problém vyřešíte stažením zdrojového kódu OpenSSL z http://www.openssl.org/source/ a extrakcí openssl.cnf ze složky /apps/ z tar archivu do složky na vašem Synology, například do /volume1/share/.
Vytvořte složku /usr/syno/ssl a zkopírujte do ní openssl.cnf:
mkdir /usr/syno/ssl/
cp /volume1/share/openssl.cnf /usr/syno/ssl/
Dále udělejte dočasný adresář a přepněte se do tohoto adresáře:
mkdir /usr/local/ssl cd /usr/local/ssl
V této složce vytvoříte s OpenSSL privátní klíč a CSR obvyklým způsobem.
Reference:
- Replacing self-signed certificate on Synology Disk Station running DSM 3.x with a StartSSL certificate using command line (advanced). Dostupné z: http://abstrask.blogspot.cz/2011/04/replacing-self-signed-certificate-on.html
- Synology DSM Live Demo. Dostupné z: https://www.synology.com/en-us/products/dsm_livedemo