QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

SSL-Zertifikate zur Verbesserung der Verbindungssicherheit mit Ihrem QNAP NAS verwenden

1. Herausforderungen und Lösungen

Beim Surfen im Internet setzen Sie sich der Gefahr einer Freisetzung Ihrer personenbezogenen Informationen aus. Möglicherweise sind Meldungen, die Sie versenden oder empfangen, nicht sicher oder Webseiten, die Sie besuchen, nicht authentisch. Diese Gefahr kann bei der Kommunikation zwischen Ihnen und einer Webseite oder zwischen Ihnen und Ihrem QNAP NAS bestehen. Mit Hilfe eines Zertifikats oder eines privaten Schlüssels (TSL/SSL) für Ihr NAS können Sie folgende Vorteile genießen und die Verbindung zwischen Ihnen und Ihrem QNAP NAS sicherer gestalten:

  1. Verhindern Sie , dass Sie bei Verbindung mit Ihrem QNAP NAS oder dem QNAP NAS Ihres Unternehmens abgehört werden.
  2. Verhindern Sie Manipulation und stellen Sie sicher, dass Sie mit dem richtigen QNAP NAS interagieren.
  3. Sie und andere NAS-Nutzer werden nicht länger gewarnt, dass die Verbindung/Webseite unsicher ist.
QNAP
Diese Warnung wird angezeigt, wenn eine Webseite kein angemessenes SSL-Zertifikat hat.

In diesem Applikationshinweis erläutern wir, wie ein Root-Zertifikat für Ihre Nutzung und ein Zertifikat für das QNAP NAS* mit Hilfe von OpenSSL und Windows Server erstellt wird. Außerdem erhalten Sie detaillierte Informationen darüber, wie Zertifikate, private Schlüssel und TSL/SSL funktionieren. Informationen zum Kauf von myQNAPcloud-SSL-Zertifikaten erhalten Sie unter Wie kaufe und nutze ich myQNAPcloud-SSL-Zertifikate?

*Die bereitgestellten Methoden gelten nur für QNAP NAS und eignen sich nicht für öffentliche Webseiten.

2. Einleitung

2.1. Was ist SSL?

Transport Layer Security (TLS) und sein Vorgänger Secure Sockets Layer (SSL) sind kryptografische Protokolle zur Bereitstellung von Kommunikationssicherheit über ein Computernetzwerk.

In Ihren Webbrowsern befinden sich möglicherweise bereits einige Root-Zertifikate, die von Root-Zertifizierungsstellen gezeichnet wurden. Wenn Sie also eine durch eine der Root-Zertifizierungsstellen zugelassene oder als vertrauenswürdig eingestufte Webseite besuchen, erkennt Ihr Browser diese als vertrauenswürdig und stellt eine sichere Verbindung für Ihre Nutzung her.

Die meisten Webseiten müssen ein Zertifizierungsverfahren durchlaufen, bevor sie von einer Root-Zertifizierungsstelle für den öffentlichen Zugriff anerkannt werden. Da jedoch nur seine Nutzer auf Ihr NAS zugreifen, kann es durch OpenSSL und Windows Server als Root-Zertifizierungsstelle fungieren. Dadurch können Sie wie nachstehend gezeigt eine sichere Verbindung zwischen Ihrem persönlichen/Firmengerät und dem NAS herstellen:

QNAP
Dieser Artikel zeigt, wie Sie ein selbstsigniertes Zertifikat mittels OpenSSL erstellen (links).
Das letzte Kapitel zeigt, wie Sie ein Root-Zertifikat mit Windows Server erstellen (rechts).
QNAP Root-Zertifizierungsstelle
QNAP Root-Zertifikat auf dem Gerät
QNAP Zertifikat auf NAS

Für den Privatgebrauch können Sie zur schnellen Erstellung eines selbstsignierten Zertifikats ohne OpenSSL-Befehlszeile auch http://www.selfsignedcertificate.com/ nutzen (diese Methode wird nur für den privaten Hausgebrauch empfohlen). Weitere Informationen finden Sie in Kapitel 3.3.

2.2. Systemanforderungen für OpenSSL

Zur Erstellung eines Zertifikats oder einer Privater-Schlüssel-Datei für die Absicherung der Verbindung mit Ihrem QNAP NAS können Sie OpenSSL nutzen oder ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erwerben. Das OpenSSL-Paket kann hier für Linux heruntergeladen werden: https://www.openssl.org/

Für Windows und andere Betriebssyteme können Sie andere von OpenSSL-Community-Mitgliedern entwickelte OpenSSL-Versionen finden. In diesem Beispiel nutzen wir Win32OpenSSL. Dies kann von https://www.openssl.org/community/binaries.html heruntergeladen werden

*Visual C++ 2008 muss vor Verwendung von OpenSSL unter Windows installiert werden. Sie können es hier herunterladen:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Ein Zertifikat erstellen

3.1. Root-Zertifikat mit OpenSSL erstellen

Nach Herunterladen von OpenSSL für Windows dekomprimieren Sie das Paket und Sie sehen die folgenden Ordner:

QNAP
Inhalt von Win32OpenSSL. In diesem Beispiel wird das Paket unter C:\OpenSSL-Win32 gespeichert

Rechtsklicken Sie auf die Start-Schaltfläche und öffnen Sie „Eingabeaufforderung (Admin)“. Geben Sie dann den folgenden Befehl ein:

CD C:\OpenSSL-Win32\bin

*Bitte passen Sie den Dateipfad entsprechend dem Speicherort des dekomprimierten Pakets an.

QNAP
Öffnen Sie „Eingabeaufforderung (Admin)“ durch Rechtsklicken auf die Start-Schaltfläche.
QNAP
Mit CD C:\OpenSSL-Win32\bin rufen Sie den bin-Ordner auf

Vor Beginn müssen Sie möglicherweise die OpenSSL-Konfigurationsdatei identifizieren. Geben Sie zum manuellen Festlegen des Konfigurationsdateipfads den folgenden Befehl ein:

Set openssl_CONF=openssl.cnf QNAP
Der Dateiname openssl.cnf kann je nach OpenSSL-Version variieren. Sie müssen den Befehl entsprechend ändern.

Nach Verwendung dieser Befehlszeile zur Erstellung des privaten Root-Schlüssels können Sie den Schlüssel erstellen (bis zu 4096 Zeichen). In diesem Beispiel stellen wir den Schlüssel auf 2048 Zeichen ein. Dieser private Schlüssel wird die Basis des gesamten Vertrauens für Ihr Zertifikat sein; daher sollte der Befehl –des3 verwendet werden, damit wir ein Kennwort für diesen Schlüssel festlegen können. Dieser Schlüssel und das Kennwort müssen geheim gehalten werden. Bei Erstellung eines Schlüssels ohne ein Kennwort können Sie den Befehl -des3 entfernen:

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Erstellung eines kennwortgeschützten privaten Root-Schlüssels.

Nach Erstellung des privaten Schlüssels können Sie mit folgendem Befehl ein selbstsigniertes Zertifikat erstellen und konfigurieren, das mit dem Schlüssel gekoppelt ist. Durch Änderung von -days können Sie das Ablaufdatum des Zertifikats festlegen (wir nutzen als Beispiel 730 Tage). Nach Eingabe dieses Befehls müssen Sie das Schlüsselkennwort und zusätzliche Informationen, die im Zertifikat gespeichert werden, eingeben. Bitte geben Sie im Abschnitt Allgemeiner Name den Namen dieses Root-Zertifikats auf.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
Erstellung eines Zertifikats, das mit dem von Ihnen erstellten privaten Schlüssel gekoppelt ist.

Ein privater Schlüssel namens rootCA.key und ein SSL-Zertifikat namens rootCA.pem werden nun im bin-Ordner gespeichert. Das Zertifikat ist selbstsigniert, 730 Tage gültig und wird als Root-Zertifikat für ein QNAP NAS agieren, wenn Sie verschiedene Zertifikate je NAS erstellen.

QNAP
Der neu erstellte private Schlüssel und das SSL-Zertifikat.

3.2. Mit OpenSSL ein Zertifikat für Ihr NAS erstellen

Verwenden Sie nach Erstellung des Root-Zertifikats folgenden Befehl zur Erstellung eines weiteren gekoppelten privaten Schlüssels und Zertifikats für Ihr QNAP NAS. Dies entspricht der Erstellung eines privaten Root-Schlüssels und Zertifikats. Sie können die Zeichen des Schlüssels anpassen, es ist jedoch kein Kennwort erforderlich. Bei Erstellung eines Zertifikats für ein QNAP NAS muss der allgemeine Name die IP-Adresse oder der Hostname* des QNAP NAS sein.

*Einige Browser können eine IP-Adresse automatisch als unsicher erachten und zeigen weiterhin eine Warnmeldung an.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Erstellung eines privaten Schlüssels und Zertifikats für Ihr QNAP NAS. Stellen Sie sicher, dass Sie die IP-Adresse/den Hostnamen (Beispiel.myqnapcloud.com) eingeben, die/den Sie zur Verbindung mit dem QNAP NAS verwenden werden.

Es werden zwei Dateien namens device.key und device.csr im bin-Ordner gespeichert. Sie müssen zum Signieren des erstellten Zertifikats mit dem privaten Schlüssel des Root-Zertifikats den nachstehenden Befehl eingeben. Sie können das Ablaufdatum des Zertifikats festlegen (wie nutzen 730 Tage als Beispiel):

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Signieren von device.csr. Wenn Sie ein Kennwort für rootCA.key erstellt haben, müssen Sie es eingeben.

3.3. Mit www.selfsignedcertificate.com ein Zertifikat für Ihr NAS erstellen

Sie können ein selbstsigniertes Zertifikat im Internet erstellen. *Geben Sie mit http://www.selfsignedcertificate.com/ die IP-Adresse/den Hostnamen Ihres QNAP NAS ein und klicken Sie auf „Erstellen“. Bitte stellen Sie sicher, dass die eingegebene Adresse mit derjenigen identisch ist, die Sie zum Besuchen Ihres NAS verwenden.

*Einige Browser können eine IP-Adresse automatisch als unsicher erachten und zeigen weiterhin eine Warnmeldung an.

QNAP
IP-Adresse/Hostnamen Ihres QNAP NAS eingeben
QNAP
Laden Sie die Dateien .key und .cert herunter.

4. Eine sichere Verbindung herstellen

4.1. QNAP NAS zur Aktivierung einer sicheren Verbindung konfigurieren

Die obigen Aktionen erstellen eine neue Datei namens device.crt mit Hilfe von device.key, und Sie können address.cert und address.key von www.selfsignedcertificate.com herunterladen. Nun müssen Sie den Inhalt der .crt- (oder .cert-) und .key-Dateien auf ein QNAP NAS hochladen. Öffnen Sie diese Dateien mit dem Notepad (oder einem anderen Texteditor)*, melden Sie sich an Ihrem NAS an, rufen Sie „Systemsteuerung“ > „Sicherheit“ > „Zertifikat und privater Schlüssel“ auf, kopieren Sie den gesamten Inhalt der Schlüssel- und Zertifikatsdateien in ihre entsprechenden Felder und klicken Sie auf „Übernehmen“.

*Öffnen Sie die Datei nicht mit Microsoft Word. Verwenden Sie Word Wrap nicht in Ihrem Texteditor.

QNAP
Diese Dateien werden nach dem obigen Verfahren erstellt oder heruntergeladen. Öffnen Sie sie mit dem Notepad oder einem anderen Texteditor.
QNAP
Kopieren Sie den Inhalt der Schlüssel- und Zertifikatsdateien und fügen Sie ihn in „Zertifikat und privater Schlüssel“ in der Systemsteuerung ein.
QNAP
Klicken Sie zum Hochladen der eingefügten Schlüssel- und Zertifikatsdaten auf Übernehmen.
QNAP
Der „Zertifikat und privater Schlüssel“-Status wechselt von Verwendung der Standardeinstellungen zur „Hochgeladenes sicheres Zertifikat verwenden“

Gehen Sie zu „Systemsteuerung“ > „Applikationen“ > „Webserver“ und wählen Sie „Sichere Verbindung (HTTPS) aktivieren“.

QNAP
Aktivieren Sie nach Übernahme des Zertifikats eine sichere Verbindung für den Webserver

5. Sichere Verbindung verwenden

5.1. Root-Zertifikat in Ihren Geräten speichern und eine sichere Verbindung zu Ihrem NAS herstellen

Bei mit OpenSSL erstellten Root-Zertifikaten ändern Sie den Namen von rootCA.pem in rootCA.crt*. Bei mit www.selfsignedcertificate.com erstellten Zertifikaten ändern Sie den Namen von address.cert in address.crt. Anschließend übertragen und öffnen Sie die umbenannte Datei auf dem Gerät, das auf das NAS zugreifen wird.

*Dies ist bei einigen Betriebssystemen möglicherweise nicht erforderlich. Verschiedene Betriebssysteme nutzen möglicherweise unterschiedliche Methoden zum Importieren von Zertifikaten.

Beim Importieren des Zertifikats unter Windows werden die Informationen zum Zertifikat angezeigt, damit Sie sie bestätigen. Klicken Sie zum Speichern auf Ihrem PC auf „Zertifikat installieren“. Wenn Sie gefragt werden, wo dieses Zertifikat gespeichert werden soll, wählen Sie Vertrauenswürdige Root-Zertifizierungsstellen. Vor der Fertigstellung werden Sie möglicherweise von Windows aufgefordert, seinen Ursprung zu bestätigen. Da es von Ihnen erstellt wurde, können Sie „Ja“ anklicken. Nach der Installation sollten Ihre Browser mit der Benutzung dieses Zertifikats beginnen*.

*Internet Explorer und Edge nutzen diese Zertifikate standardmäßig. Andere Browser nutzen möglicherweise andere Methoden zur Speicherung von Root-Zertifikaten und Sie müssen sie manuell konfigurieren.

QNAP
Importieren Sie die rootCA.crt auf Ihre PCs, die auf das QNAP NAS zugreifen werden.

Schließen Sie Ihre Browser und öffnen Sie sie wieder, damit die Änderungen wirksam werden. Geben Sie in die Adresszeile https:// (IP-Adresse oder Hostname Ihres NAS): (Ihren sicheren Port) zur Anmeldung am NAS ein. Sie sehen die Zertifikatsmeldung im Browser, was bestätigt, dass Ihr NAS identifiziert wurde und die Verbindung sicher ist.

QNAP
Nach der Verifizierung identifiziert Ihr Browser Ihre Webseite richtig und bestätigt, dass die Verbindung sicher ist.

6. Windows Server-Zertifizierungsstelle zur Ausstellung und Verwaltung des NAS-Zertifikats verwenden

Wenn Sie mehrere Geräte mit Windows Server Active Directory verwalten, können Sie mit Windows Server ein Root-Zertifikat erstellen und die Zertifikatsanfrage Ihres QNAP NAS signieren. Bitte installieren Sie dazu zunächst die Certificate Authority Management Tools in Windows Server. In diesem Beispiel nutzen wir Windows Server 2012.

QNAP
Sie können die „Certificate Authority Management Tools“ in „Rollen und Features hinzufügen“ finden

Nach Installation von Certificate Authority Management Tools finden Sie einen neuen Eintrag („AD CS“) im linken Menü von Server-Manager. Dies steht für Active Directory Certificate Services. In AD CS müssen Sie ein Root-Zertifikat für Ihr Netzwerk konfigurieren. Sie können mit Hilfe des Assistenten ein neues Root-Zertifikat mit Windows Server erstellen oder ein bestehendes Root-Zertifikat wählen.

QNAP
Der Server-Manager informiert Sie darüber, die Active Directory Certificate Services Ihres Servers zu konfigurieren.
QNAP
Befolgen Sie den Assistenten zum Konfigurieren eines Root-Zertifikats. Sie können ein neues Root-Zertifikat erstellen oder einen vorhandenen privaten Schlüssel verwenden. In diesem Beispiel erstellen wir einen neuen privaten Schlüssel.
QNAP
Bestätigen Sie Ihre Einstellungen, nachdem Sie all die Optionen abgeschlossen haben. Verschiedene Optionen können bei verschiedenen Nutzungsanforderungen ausgewählt werden.

Nach Abschluss der Konfiguration ist Ihr Server berechtigt, ein Zertifikat zu signieren. Beachten Sie zum Signieren Ihres QNAP NAS mit Hilfe des Root-Zertifikats des Servers Kapitel 3.2 zur Erstellung einer .csr-Zertifikatsdatei. Sobald die .csr-Datei erstellt ist, suchen Sie nach „Zertifizierungsstelle“ im Extras-Menü von Server-Manager.

QNAP
Der Ort der Zertifizierungsstelle-Funktion.

Unter Zertifizierungsstelle können Sie die Zertifikate verwalten, die von Ihrem Server signiert und ausgestellt wurden. Rechtsklicken Sie zum Signieren des Zertifikats für das NAS auf Ihren Server, wählen Sie „Alle Aufgaben“ > „Neue Anfrage stellen“ und suchen Sie nach der .csr-Datei, die die IP-Adresse/den Hostnamen Ihres QNAP NAS enthält*. Suchen Sie unter „Ausstehende Anfragen“ nach der gerade eingereichten Anfrage und rechtsklicken Sie zum Ausstellen auf das Zertifikat.

*Es gibt weitere Methoden zum Erstellen einer .csr-Datei für Ihr QNAP NAS, ohne dass Sie die OpenSSL-Befehlszeile verwenden müssen; dazu zählt auch diese Webseite: https://www.gogetssl.com/online-csr-generator/

QNAP
Reichen Sie eine neue Zertifikatsanfrage für Ihr NAS ein.
QNAP
Suchen Sie nach der mit OpenSSL für Ihr NAS erstellten .csr-Datei.
QNAP
Zertifikat ausstellen

Sobald das Zertifikat ausgestellt ist, wählen Sie es unter „Ausgestellte Zertifikate“ und exportieren Sie das Zertifikat in eine Datei, damit sie deren Inhalte gemeinsam mit dem privaten Schlüssel auf Ihr QNAP NAS hochladen können (siehe Kapitel 4.1). Ihr NAS nutzt dann das von Ihrem Windows Server ausgestellte Zertifikat.

QNAP
Öffnen Sie Ausgestellte Zertifikate und wählen Sie bei Betrachtung Ihres ausgestellten Zertifikats „In Datei kopieren“.
QNAP
Wählen Sie „Base-64-enkodiert X.509 (.CER)“, damit Sie die Datei mit dem Notepad in Windows Server öffnen können.
QNAP
Nach Befolgen von Kapitel 4.1 zur Eingabe von Zertifikat und Schlüssel in Ihr NAS nutzt Ihr NAS das von Ihrem Windows Server ausgestellte Zertifikat.
Veröffentlichungsdatum: 2016-05-10
War es hilfreich?
Vielen Dank für Ihre Rückmeldung.
Vielen Dank für Ihre Rückmeldung. Wenden Sie sich bei Fragen bitte an support@qnap.com
9% der Nutzer fanden es hilfreich.