QNAP Systems, Inc. - almacenamiento conectado en red (NAS)

Language

Support

Uso de certificados SSL para aumentar la seguridad de conexiones a su QNAP NAS

1. Problemas y soluciones

Cuando navegue por Internet, puede tener riesgos de exponer su información personal. Es posible que los mensajes que envíe y reciba no sean seguros y que el sitio web que visite no sea auténtico. Este riesgo puede ser tanto para la comunicación entre usted y un sitio web como entre usted y su QNAP NAS. Al usar un certificado y una clave privada (TSL/SSL) para su NAS, usted puede recibir los siguientes beneficios y realiza la conexión entre usted y su QNAP NAS de una forma más segura:

  1. Evitar que escuchen por casualidad cuando se conecte al QNAP NAS de su compañía.
  2. Evitar falsificaciones y garantizar que esté interactuando con el QNAP NAS correcto.
  3. Usted y los otros usuarios del NAS ya no podrán ver una advertencia de que la conexión o el sitio web es inseguro.
QNAP
Este mensaje de advertencia se muestra cuando un sitio web no tiene un certificado SSL apropiado.

En esta nota de aplicación abordaremos la forma de crear un certificado raíz para que pueda usar y un certificado para el QNAP NAS* al usar OpenSSL y Windows Server. No se abordará la información detallada sobre los certificados, claves privadas y el funcionamiento de TSL/SSL. Para obtener información relacionada sobre la compra de certificados SSL de myQNAPcloud, consulte Cómo comprar y usar certificados SSL de myQNAPcloud

* Los métodos suministrados son solamente para el QNAP NAS y no son ideales para sitios web públicos.

2. Introducción

2.1. ¿Qué es SSL?

Seguridad de Capa de Transporte (TLS) y su predecesor, Capa de Conexión Segura (SSL) son protocolos criptográficos diseñados para suministrar seguridad a las comunicaciones a través de redes informáticas.

En sus navegadores web, pueden existir algunos certificados raíces firmados por autoridades de certificación raíces. De tal manera que cuando visite un sitio web que esté aprobado y sea de confianza por una de las autoridades de certificados raíces, su navegador reconocerá ese sitio como de confianza y establecerá una conexión segura para que pueda usar.

En sus navegadores web, pueden existir algunos certificados raíces firmados por autoridades de certificación raíces. De tal manera que cuando visite un sitio web que esté aprobado y sea de confianza por una de las autoridades de certificados raíces, su navegador reconocerá ese sitio como de confianza y establecerá una conexión segura para que pueda usar.

QNAP
Es artículo mostrará cómo crear certificados firmados automáticamente usando OpenSSL (izquierda).
En el último capítulo se mostrará cómo crear un certificado raíz con Windows Server (derecha).
QNAP Autoridad de certificados raíces
QNAP Certificado raíz en el dispositivo
QNAP Certificado en el NAS

Para uso en el hogar, también puede usar http://www.selfsignedcertificate.com/ para crear rápidamente un certificado firmado automáticamente sin necesidad de usar la línea de comandos de OpenSSL (Este método solamente se recomienda para usar en el hogar o de forma privada). Consulte el capítulo 3.3 para más información.

2.2. Requisitos del sistema para OpenSSL

S para crear un certificado y un archivo de claves privadas con el fin de asegurar la conexión con su QNAP NAS, puede usar OpenSSL o comprar un certificado de autoridades de certificados de confianza. El paquete OpenSSL se puede descargar para Linux aquí: https://www.openssl.org/

Para Windows y otros sistemas operativos, puede encontrar otras versiones de OpenSSL desarrolladas por miembros de la comunidad OpenSSL. En este ejemplo usaremos Win32OpenSSL. Este se puede descargar desde https://www.openssl.org/community/binaries.html

*Se debe instalar Visual C++ 2008 antes de usar OpenSSL en Windows. Este se puede descargar desde:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Crear un certificado

3.1. Use OpenSSL para crear el certificado raíz

Después de descargar OpenSSL para Windows, descomprima el paquete y podrá ver las siguientes carpetas:

QNAP
El contenido de Win32OpenSSL. En este ejemplo el paquete se ha guardado en C:\OpenSSL-Win32

Haga clic derecho en el botón Inicio y abra el “Command Prompt (Admin)” (Símbolo del sistema (Admin). Luego, introduzca el siguiente comando:

CD C:\OpenSSL-Win32\bin

* Ajuste la ruta de archivos de tal manera que corresponda con el lugar donde esté guardado el paquete descomprimido.

QNAP
Abra “Command Prompt (Admin)” (Símbolo del sistema (Admin) al hacer clic derecho en el botón Inicio.
QNAP
Use CD C:\OpenSSL-Win32\bin para ir a la carpeta bin

Antes de iniciar, deberá identificar el archivo de configuración de OpenSSL. Para configurar manualmente la ruta de archivos, introduzca el siguiente comando:

Set openssl_CONF=openssl.cnf QNAP
El nombre del archivo openssl.cnf puede ser diferente en su versión de OpenSSL. Deberá cambiar el comando de forma correspondiente.

Después de usar esta línea de comandos para crear la clave raíz privada, puedes coger crear la clave (con máximo 4096 caracteres). En este ejemplo, hemos definido la clave con 2048 caracteres. Esta clave privada será la base de toda la confianza de su certificado; por lo tanto, se debe usar el comando –des3 para que podamos establecer una contraseña para esta clave. Tanto la clave como la contraseña se deben mantener en secreto. Para crear una clave sin una contraseña, puede borrar el comando -des3:

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Creación y una clave privada raíz protegida con contraseña.

Después de haber creado la clave privada, use el siguiente comando para crear y configurar un certificado firmado automáticamente que este pareado con la clave. Al cambiar -days, puede decidir la fecha de caducidad del certificado (usamos 730 días como ejemplo). Después de introducir este comando, debe introducir la contraseña de la clave y cualquier información adicional que se almacenará en el certificado. En la sección de nombres comunes, introduzca el nombre de este certificado raíz.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
Creación de un certificado que esté pareado con la clave privada que haya creado.

Una clave privada llamada rootCA.key y un certificado SSL llamado rootCA.pem se guardarán ahora en la carpeta bin. El significado está firmado automáticamente, tendrá una validez de 730 días y actuará como certificado raíz para un QNAP NAS cuando creé diferentes certificados para cada NAS.

QNAP
La clave privada recientemente creada y el certificado SSL.

3.2. Use OpenSSL para crear un certificado para sus NAS

Después de crear el certificado raíz, use el siguiente comando para crear otra clave privada pareada y el certificado para su QNAP NAS. Este proceso es idéntico a la creación de una clave privada raíz y el certificado. Puede personalizar los caracteres de la clave, pero no se necesita contraseña. Cuando cree un certificado para un QNAP NAS, el nombre común debe ser la dirección IP o el nombre del host* del QNAP NAS.

*Algunos navegadores pueden considerar automáticamente a una dirección IP como insegura y todavía mostrarán el mensaje de advertencia.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Creación de una clave privada y certificado para su QNAP NAS. Asegúrese de introducir la dirección IP/nombre del host (example.myqnapcloud.com) que usará para conectarse al QNAP NAS.

Dos archivos se guardarán en la carpeta bin, llamados device.key y device.csr. Tendrá que introducir el siguiente comando para firmar el certificado creado con la clave privada del certificado raíz. Puede decidir la fecha de caducidad del certificado (usamos 730 días como ejemplo):

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Firmando device.csr. Si ha creado una contraseña para rootCA.key tendrá que introducirla.

3.3. Use www.selfsignedcertificate.com para crear un certificado para sus NAS

Es posible crear un certificado firmado automáticamente en Internet. * Use http://www.selfsignedcertificate.com/, introduzca la dirección IP/nombre del host de su QNAP NAS y luego haga clic en "Generar". Asegúrese de de que la dirección introducida sea la misma que use para su NAS.

* Algunos navegadores pueden considerar automáticamente a una dirección IP como insegura y todavía mostrarán el mensaje de advertencia.

QNAP
Introduzca la dirección IP/nombre del host de su QNAP NAS
QNAP
Descargue los archivos .key y .cert.

4. Establecer una conexión segura

4.1. Configure el QNAP NAS para habilitar una conexión segura

Las acciones anteriores crearán un archivo llamada device.crt usando device.key y podrán descargar address.cert y address.key desde www.selfsignedcertificate.com. Ahora debe cargar el contenido de los archivos .crt (o .cert) y .key a un QNAP NAS. Abra estos archivos con Notepad (otro editor de texto)*, inicie sesión en el NAS, vaya a “Control Panel” (Panel de control) > “Security” (Seguridad) > “Certificate & Private Key” (Certificado y clave privada), copy copie todo el contenido de los archivos de claves y del certificado a sus respectivos campos y luego haga clic en “Apply” (Aplicar).

*No use Microsoft Word para abrir el archivo. No use ajuste de palabras en su editor de texto.

QNAP
Estos archivos se crean o descargan después del proceso anterior. Ábralos usando Notepad u otro editor de texto.
QNAP
Copie el contenido de los archivos de claves y del certificado y péguelo en “Certificado de clave privada” del panel de control.
QNAP
Haga clic en aplicar para cargar la información del certificado y de claves pegada.
QNAP
El estado de “Certificate & Private Key” (Certificado de clave privada) cambiará de usar la configuración predeterminada a “Uploaded secure certificate being used” (Certificado seguro cargado se está usando)

Vaya a "Control Panel" (Panel de control) > "Applications" (Aplicaciones) > "Web Server" (Servidor web) u marque “Enable secure connection (HTTPS)” (Habilitar conexión segura (HTTPS).

QNAP
Habilite una conexión segura para el servidor web después de aplicar el certificado

5. Usar una conexión segura

5.1. Almacene el certificado raíz en sus dispositivos y conéctese de forma segura a su NAS

Para los certificados raíces creados con OpenSSL, cambie el nombre de rootCA.pem por rootCA.crt*. Para certificados creados por www.selfsignedcertificate.com, cambie el nombre de address.cert por address.crt. Luego transfiera y abra el archivo renombrado en el dispositivo que tendrá acceso al NAS.

*Es posible que esto no se requiera para algunos sistemas operativos. Diferentes sistemas operativos pueden usar otros métodos para importar certificados.

Cuando importe el certificado de Windows, la información del certificado se mostrará para que la confirme. Haga clic en “Instalar el certificado” para almacenarlo en su PC. Cuando se le pregunte donde almacenar este certificado, escoja autoridades de certificados raíces de confianza. Antes de finalizar, Windows le preguntará que confirme su origen. Como usted lo creó, haga clic en “Sí”. Después de la instalación, sus navegadores deben empezar a usar este certificado*.

*Internet Explorer y Edge usarán este certificado de forma predeterminada. Otros navegadores pueden usar diferentes métodos para almacenar certificados raíces y usted necesitará configurarlos manualmente.

QNAP
Importe rootCA.crt en los PC que vayan a tener acceso al QNAP NAS.

Cierre y vuelva abrir sus navegadores para que los cambios tengan efecto. En la barra de direcciones, introduzca https:// (La dirección IP de su NAS o el nombre del host):(su puerto seguro) para iniciar sesión en el NAS. Verá el mensaje del certificado en el navegador para confirmar que su NAS se ha identificado y de que la conexión es segura.

QNAP
Una vez verificado, su navegador identificará correctamente su sitio web y confirmará que la conexión es segura.

6. Use la autoridad de certificados de Windows Server para emitir y administrar el certificado del NAS.

Se administra varios dispositivos usando Active Directory de Windows Server, puede crear un certificado raíz usando Windows Server y firmar la solicitud de certificado de su QNAP NAS. Para hacer esto, primero instale Certificate Authority Management Tools en Windows Server. En este ejemplo, usaremos Windows Server 2012.

QNAP
Puede encontrar “Certificate Authority Management Tools” (Certificate Authority Management Tools) en “Add Roles and Features" (Añadir roles y características)

Después de instalar Certificate Authority Management Tools, encontrará un nuevo elemento (“AD CS”) en el menú izquierdo de Server Manager. Esto significa Active Directory Certificate Services. En AD CS, debe configurar un certificado raíz para su red. Puede seguir el asistente para crear un certificado raíz usando Windows Server o seleccionar un certificado raíz existente.

QNAP
Server Manager le pedirá que configure los servicios del certificado de Active Directory de su servidor.
QNAP
Siga la existente para configurar un certificado raíz. Puede crear un certificado raíz o usar una clave privada existente. En este ejemplo, crearemos una clave privada.
QNAP
Confirme su configuración después de que todas las opciones se hayan completado. Se pueden seleccionar diferentes opciones para diferentes requisitos de uso.

Después de completar la configuración, su servidor tendrá la autoridad para firmar un certificado. Para usar el certificado raíz del servidor con el fin de registrar su QNAP NAS, consulte el capítulo 3.2 para crear un archivo .csr de certificados. Una vez que el archivo .csr se haya creado, busque “Autoridades certificados” en el menú herramientas del administrador del servidor.

QNAP
La ubicación de la función de la autoridad de certificados.

En autoridades certificados, podrá administrar los certificados que su servidor haya firmado y emitido. Para firmar el certificado para el NAS, haga clic derecho en su servidor, seleccione “All Tasks” (Todas las tareas) > “Submit new request” (Enviar nueva solicitud) y busque el archivo .csr que contengan la dirección IP/nombre del host de su QNAP NAS*. En “Pending Requests” (Solicitudes pendientes), busque la solicitud que acaba de enviar y haga clic derecho en ella para emitir el certificado.

* Existen otros métodos para crear un archivo .csr para su QNAP NAS sin usar la interfaz del símbolo del sistema de OpenSSL, incluyendo este sitio web: https://www.gogetssl.com/online-csr-generator/

QNAP
Enviar una nueva solicitud de certificados para su NAS.
QNAP
Busque el archivo .csr que haya creado para su NAS usando OpenSSL.
QNAP
Emisión de certificados

Una vez que el certificado se haya emitido, selecciónelo en “Issued Certificates” (Certificados emitidos) y exporte el certificado a un archivo para cargar su contenido a su QNAP NAS junto con la clave privada (consulte el capítulo 4.1). Su NAS usará luego el certificado que Windows Server haya emitido.

QNAP
Abra el certificado emitido y seleccione “Copy to File” (Copiar a archivo) cuando esté viendo su certificado emitido.
QNAP
Seleccione "Codificado X.509 (.CER) con base en 64" de tal manera que puede abrir el archivo con Notepad en Windows Server.
QNAP
Después de seguir el capítulo 4.1 para introducir el certificado de la clave en su NAS, su NAS usará el certificado emitido por Windows Server.
Fecha de lanzamiento: 2016-05-10
¿Le ha sido útil?
Gracias por sus comentarios.
Gracias por sus comentarios. Si tiene alguna pregunta, póngase en contacto con support@qnap.com
El 17% de las personas piensa que ayuda.