Instalace SSL/TLS certifikátu na NAS Synology Logo Synology

V tomto návodu se dozvíte jednoduchý postup, jak nainstalovat SSL/TLS certifikát na váš NAS Synology, resp. na obecně jakýkoliv NAS či síťové úložiště. Certifikát využijete jak pro zabezpečení administrace, komunikaci s NASem a přenosu dat na NAS, tak pro jeho webové služby.

Obecný postup zapnutí a instalace SSL certifikátu na NAS

Pro fungování SSL certifikátu potřebujete dva klíče - privátní a veřejný. Privátní klíč si vytvoříte před žádostí o certifikát (CSR); veřejný klíč potom certifikační autorita obdrží ve vašem CSR requestu a vloží ho do budoucího SSL certifikátu.

Hlavním úskalím NASů a síťových zařízení je tvorba CSR requestu. Ne každé zařízení obsahuje průvodce pro vytvoření CSR requestu a očekává, že dojde k importu už hotového SSL certifikátu a privátního klíče.

CSR request je možné vytvořit různými způsoby a v následujícím odstavci najdete nejjednodušší z nich.

Vytvoření privátního klíče a CSR requestu

Žádost o certifikát můžete vytvořit různými způsoby; vždy doporučuji privátní klíč a CSR vytvořit na NASu nebo lokálně; v žadném případě nepoužívat webové služby generující privátní klíč a CSR. U nich nikdy nemáte jistotu, že privátním klíčem nebude disponovat nikdo jiný.

Vytvoření privátního klíče a CSR v OpenSSL

Máte-li po ruce počítač nebo server s Linuxem nebo jiným Unix systémem, bude v systému přítomen program OpenSSL. S jeho pomocí privátní klíč a CSR vytvoříte ve dvou krocích. Výhodou je přehledné zadání údajů, kdy máte vše pod kontrolou. Výstup je v pro nás ideálním formátu Base64 s koncovkou PEM.

Generování privátního klíče a CSR v OpenSSL se věnuje článek Základy práce s OpenSSL - privátní klíč a CSR.

Vytvoření privátního klíče ve Windows

V operačním systému Windows je také možné generovat privátní klíče a CSR requesty, avšak systém pracuje s jejich binárními formáty, se kterými si SANy obecně nerozumí. Binární formát klíčů však lze převést na textový formát v OpenSSL. Postup najdete v článku Základy práce s OpenSSL - export, import, převody formátů.

Vytvoření privátního klíče přímo na NAS

Jako poslední uvádím z bezpečnostního pohledu nejvhodnější postup, tedy vytvoření privátního klíče a CSR přímo na NASu. Pokud váš NAS nemá moderní operační systém umožňující vytvoření CSR v průvodci (viz další oddíl), můžete privátní klíč a CSR vygenerovat na serveru za pomoci OpenSSL.

Postup je stejný jako v odstavci výše, rozdíl je pouze v připojení na NAS. Na NAS se nepřipojíte přes webové rozhraní, ale přes SSH nebo telnet. Tyto protokoly by měl dobrý NAS podporovat. Na NASech Synology je OpenSSL k dispozici též.

Pro SSH na Windows doporučuji klienta PuTTY, se kterým se připojíte na NAS s povoleným SSH přístupem. 

Privátní klíč vygenerujete pomocí příkazu 

openssl genrsa -nodes -out server.key 2048

CSR vygenerujete z nového privátního klíče příkazem

openssl req -new -key server.key -out server.csr

OpenSSL se vás zeptá na údaje pro CSR request. Je nutné vyplnit minimálně Common name, což je doména, kterou budete pro NAS používat (např. synology.pepa.cz), a Country (např. CZ). Vytvořený CSR request následně vložíte do administrace SSLmarketu.

Synology u svých NASů používá kromě OpenSSL i Apache (pro službu webového serveru), takže nejen generování CSR, ale i nastavení přes SSH (ruční) je stejné jako v našem návodu Instalace certifikátu na Apache přes SSH.

Instalace certifikátu ve starší verzi DSM

Starší verze systému DSM by měly umožňovat import klíče a certifikátu na NAS, i když nemusí vytvořit CSR request průvodcem.

Pokud by na NASu tento dialog nebyl, může pokročilejší uživatel najít výchozí privátní klíč a stávající certifikát NASu a přepsat tyto soubory novým certifikátem. Po restartu by měl fungovat nový certifikát. Certifikát NASu bude pravděpodobně ve složce /usr/syno/etc/ssl, nebo /usr/local/ssl/server.

NAS Synology s DSM 7.0

Zkratkou DSM se označuje operační systém NASů Synology, tedy grafické rozhraní, ve kterém děláme správu NASu a přes které ho v prohlížeči ovládáte.

Instalace SSL certifikátu na Synology

V aktuální verzi systému DSM 7.0 je už možné vytvořit CSR pomocí průvodce. Po dokončení průvodce a vygenerování CSR je request spolu s privátním klíčem stažen do vašeho počítače. CSR request vložíte do administrace SSLmarket a bude použit pro vystavení certifikátu; privátní klíč nahrajete při importu na NAS a bude se používat spolu s certifikátem.

Doporučuji privátní klíč zazálohovat na bezpečném místě, ovšem ani jeho ztráta není problém - certifikát vám zdarma vystavíme znovu.

Připojení na NAS

Na NAS se nejprve přihlaste, a poté vyhledejte nabídku Ovládací panel a v něm položku Zabezpečení.

synology - nastavení
Vyhledejte nabídku nastavení
synology - zabezpečení
Otevřete nabídku Ovládací panel

Vygenerování CSR v průvodci

Pokud nemáte CSR request vytvořen předem, můžete tak učinit v průvodci, kterého najdete pod Ovládácí panel > Zabezpečení > Certifikát > Nastavení > Rozšířené > Vytvořit žádost o podpis certifikátu (CSR). Zde můžete vytvořit žádost o certifikát (CSR), zadat dobře známé údaje, zvolit bitovou hloubku 2048 a žádost vygenerovat.

synology - průvodce CSR
Dialog průvodce vytvoření CSR

Po vygenerování se žádost stáhne do vašeho počítače spolu s privátním klíčem v ZIP archivu. Privátní klíč můžete zazálohovat a následně ho naimportovat spolu se SSL certifikátem od SSLmarketu.

Import SSL certifikátu a privátního klíče

Máte-li už SSL certifikát vystaven, můžete ho velice jednoduše naimportovat. Tato možnost je pod Zabezpečení > Certifikát > Přidat > Přidat nový certifikát > Importovat certifilkát a klikněte na Další.

synology - importovat certifikat
Synology - Možnost importovat certifikát

Po kliknutí na importovat vložíte jednotlivé 3 části certifikátu. Privátní klíč už máte (dle postupu výše), certifikát vám v textovém souboru zaslal SSLmarket.cz a "Střední certifikát" najdete ve stejné zprávě, jako nový certifikát. Termínem Střední certifikát označuje Synology Intermediate certifikát autority, který je nutný pro důvěryhodnost certifikátu

Dialog importu - vyberte klíče, certifikát a Intermediate certifikát
Dialog importu - vyberte klíče, certifikát a Intermediate certifikát

Intermediate certifikát (střední certifikát) a důvěryhodnost

Pokud ho nenaimportujete, objeví se problémy s neznámým vystavitelem certifikátu (zejména na mobilních telefonech) a SSL certifikát nebude důvěryhodný.

nedůvěryhodný SSL certifikát
Nedůvěryhodný certifikát - chybi zprostředkující certifikát autority

Dokončení a restart NASu

Po vložení SSL certifikátu se webová část NASu restartuje a po restartu se již bude používat nový certifikát.

Byl tento článek pro vás užitečný?