QNAP Systems, Inc. - almacenamiento en red (NAS)

Language

Support

Utilización de certificados SSL para aumentar la seguridad de la conexión en el QNAP NAS

1. Desafíos y soluciones

Al navegar por Internet, puede estar en riesgo de exponer la información personal. Es posible que los mensajes que envía y recibe no sean seguros y que el sitio web que visita no sea auténtico. Este riesgo puede aplicarse tanto a la comunicación entre usted y un sitio web como entre usted y el QNAP NAS. Si utiliza un certificado y clave privada (TSL/SSL) para el NAS puede recibir los siguientes beneficios y lograr una conexión más segura entre usted y el QNAP NAS:

  1. Evitar la escucha al conectarse a su QNAP NASo al de la empresa.
  2. Evitar la manipulación y asegurarse de que interactúa con el QNAP NAScorrecto.
  3. Usted y otros usuarios de NAS ya no verán la advertencia de que una conexión o un sitio web son inseguros.
QNAP
Se muestra este mensaje de alerta cuando el sitio web no cuenta con un certificado SSL adecuado.

En esta nota de aplicación abordaremos la forma de crear un certificado raíz para su utilización y un certificado para el QNAP NAS* mediante OpenSSL y Windows Server. No se presentan detalles sobre el funcionamiento de los certificados, las claves privadas ni el TSL/SSL. Para obtener información respecto de la compra de certificados myQNAPcloud SSL, consulte el apartado Cómo comprar y utilizar los certificados myQNAPcloud SSL

*Los métodos provistos son solo para QNAP NAS y no son aptos para los sitios web públicos.

2. Introducción

2.1. ¿Qué es SSL?

Transport Layer Security (TLS) y su antecesor, Secure Sockets Layer (SSL) son protocolos criptográficos diseñados para brindar seguridad en las comunicaciones a través de una red informática.

En los navegadores web, es posible que ya existan Certificados raíz firmados por las autoridades de certificados raíz. Entonces, cuando consulta un sitio web que cuenta con la aprobación y la confianza de una de estas autoridades, el navegador reconoce el sitio como de confianza y establece una conexión segura para su utilización.

La mayoría de los sitios web deben atravesar el proceso de certificación antes de contar con el reconocimiento de alguna autoridad para acceso público. Pero dado que solo los usuarios pueden acceder al NAS, es posible actuar como autoridad de certificados raíz mediante OpenSSL y Windows Server. Esto le permite establecer una conexión segura entre su dispositivo personal o el de su empresa y el NAS, tal como se muestra a continuación:

QNAP
En este artículo se muestra la forma de crear un certificado autofirmado con OpenSSL (izquierda).
En el último capítulo se muestra cómo crear un certificado raíz con Windows Server (derecha).
QNAP Autoridad de certificado raíz
QNAP Certificado raíz en el dispositivo
QNAP Certificado en el NAS

Para la utilización residencial, también puede usar http://www.selfsignedcertificate.com/ para crear rápidamente un certificado autofirmado, sin necesidad de línea de comando OpenSSL (solo se recomienda este método para uso residencial o privado). Consulte el Capítulo 3.3 para conocer más información.

2.2. Requisitos del sistema para OpenSSL

Para crear un archivo de Certificado y Clave privada para garantizar la conexión con el NAS QNAP, puede utilizar OpenSSL o comprar un certificado de una autoridad de confianza. Es posible descargar el paquete de OpenSSL para Linux desde: https://www.openssl.org/

Para Windows y otros sistemas operativos, puede buscar otras versiones de OpenSSL desarrolladas por los miembros de la comunidad OpenSSL. En este ejemplo utilizamos Win32OpenSSL. Puede descargarse de https://www.openssl.org/community/binaries.html

*Debe instalar Visual C++ 2008 antes de usar OpenSSL en Windows. Puede descargarse de:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Creación del certificado

3.1. Utilización de OpenSSL para crear el certificado raíz

Una vez descargado OpenSSL para Windows, descomprima el paquete y verá las siguientes carpetas:

QNAP
El contenido de Win32OpenSSL. En este ejemplo, el paquete está guardado en C:\OpenSSL-Win32

Haga clic con el botón secundario del mouse en el botón Inicio y abra “Símbolo del sistema (Admin)”. Luego escriba el siguiente comando:

CD C:\OpenSSL-Win32\bin

*Sírvase ajustar la ruta del archivo correspondiente al lugar en el que guardó el archivo descomprimido.

QNAP
Abra "Símbolo del sistema (Admin)" haciendo clic con el botón secundario del mouse en el botón Inicio.
QNAP
Utilice el CD C:\OpenSSL-Win32\bin para ir a la carpeta bin

Antes de comenzar, quizá deba identificar el archivo de configuración de OpenSSL. Para ajustar manualmente la ruta del archivo de configuración, escriba el comando siguiente:

Set openssl_CONF=openssl.cnf QNAP
El nombre del archivo openssl.cnf puede variar según su versión de OpenSSL. Debe modificar el comando de manera acorde.

Tras utilizar esta línea de comandos para crear la clave raíz privada, puede optar por crear la clave (de hasta 4096 caracteres). En este ejemplo, definimos la clave en 2048 caracteres. Esta clave constituirá la base de la confianza del certificado, por lo que debe utilizarse el comando –des3 para permitirnos definir la contraseña para esta clave. Debe mantenerse secreta la clave y la contraseña. Para crear una clave sin contraseña, puede eliminar el comando -des3:

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Creación de una clave privada raíz protegida con contraseña.

Una vez creada la clave privada, utilice el siguiente comando para crear y configurar un certificado autofirmado combinado con la clave. Al modificar los -días, puede decidir la fecha de vencimiento del certificado (utilizamos 730 días como ejemplo). Después de especificar este comando, debe escribir la contraseña para la clave, así como cualquier información adicional que se guardará en el certificado. En la sección Nombre común, escriba el nombre de este certificado raíz.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
Creación de un certificado combinado con la clave privada que creó.

Ahora se guarda en la carpeta bina una clave privada denominada rootCA.key y un certificado SSL denominado rootCA.pem. El certificado está autofirmado, tiene una validez de 730 días y funciona como certificado raíz para el QNAP NAS al crear diferentes certificados para cada NAS.

QNAP
La clave privada y el certificado SSL recién creados.

3.2. Uso de OpenSSL para crear un certificado para el NAS

Después de crear el certificado raíz, utilice el comando siguiente para crear otra clave privada y otro certificado combinados para el QNAP NAS. El procedimiento es idéntico a la creación de una clave privada raíz y un certificado. Puede personalizar los caracteres de la clave pero no se requiere contraseña. Al crear un certificado para el QNAP NAS, el Nombre común debe ser la dirección IP o nombre* del Host del QNAP NAS.

*Algunos navegadores pueden considerar insegura la dirección IP en forma automática y mostrar un mensaje de advertencia.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Creación de clave privada y certificado para el QNAP NAS. Verifique que ha especificado la dirección IP/el nombre del host (ejemplo.myqnapcloud.com) que utilizará para conectarse al QNAP NAS.

Se guardan dos archivos en la carpeta bin denominada device.key y device.csr. Debe especificar el comando siguiente para firmar el certificado creado con la clave privada del certificado raíz. Puede decidir la fecha de vencimiento del certificado (utilizamos 730 días como ejemplo):

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Firma de device.csr. Si creó una contraseña para rootCA.key debe especificarla.

3.3. Uso de www.selfsignedcertificate.com para crear un certificado para el NAS

Es posible crear un certificado autofirmado en Internet. *Mediante http://www.selfsignedcertificate.com/, escriba la dirección IP o el nombre de host del QNAP NAS y haga clic en "Generar". Verifique que la dirección especificada sea la misma que utilizó para visitar el NAS.

*Algunos navegadores pueden considerar insegura la dirección IP en forma automática y mostrar un mensaje de advertencia.

QNAP
Escriba la dirección IP o el nombre de host del QNAP NAS
QNAP
Descargue el archivo.key y.cert.

4. Establecer una conexión segura

4.1. Configure el QNAP NAS para activar una conexión segura

Las acciones anteriores crean un archivo nuevo denominado device.crt mediante device.key, lo que le permite descargar address.cert y address.key de www.selfsignedcertificate.com. Ahora debe subir el contenido de los archivos.crt (o.cert) y.key files para el QNAP NAS. Abra estos archivos con Bloc de notas (u otro editor de texto)*, inicie sesión en el NAS, vaya a “Panel de control” > “Seguridad” >“Certificado y Clave privada”, copie el contenido de los archivos de la clave y del certificado a sus respectivos campos y haga clic en “Aplicar”.

*No utilice Microsoft Word para abrir el archivo. No utilice Word Wrap en el editor de texto.

QNAP
Se crean o descargan estos archivos con posterioridad al proceso anterior. Ábralos con Bloc de notas u otro editor de texto.
QNAP
Copie el contenido de los archivos de la clave y del certificado y péguelos en “Certificado y clave privada” del Panel de control.
QNAP
Haga clic en Aplicar para subir los datos correspondientes a la clave y al certificado pegados.
QNAP
El estado “Certificado y clave privada” cambia de la utilización de la configuración predeterminada a “Está utilizándose el certificado seguro que se ha subido”

Vaya a "Panel de control" > "Aplicaciones" > "Servidor web" y marque la opción “Activar conexión segura (HTTPS)”.

QNAP
Active la conexión segura para el servidor web después de aplicar el certificado

5. Utilización de la conexión segura

5.1. Guarde el certificado raíz en los dispositivos y conéctese de forma segura al NAS

Para el caso de los certificados raíz creados mediante OpenSSL, cambie el nombre de rootCA.pem por rootCA.crt*. Para el caso de los certificados creados por www.selfsignedcertificate.com, cambie el nombre de address.cert por address.crt. Luego transfiera y abra el archivo cuyo nombre se modificó en el dispositivo al que accederá el NAS.

*Puede no ser necesario para algunos sistemas operativos. Quizá los diferentes sistemas operativos utilicen otros métodos para importar certificados.

Al importar el certificado en Windows, la información que contiene se muestra para su confirmación. Haga clic en “Instalar certificado” para guardarlo en su PC. Cuando se le pregunte dónde desea guardar el certificado, seleccione Autoridades de certificados raíz de confianza. Antes de finalizar, es posible que Windows le pida que confirme el origen. Puesto que lo creó usted, puede hacer clic en “Sí”. Tras la instalación, los navegadores deben comenzar a utilizar el certificado*.

*Internet Explorer y Edge utilizan estos certificados de forma predeterminada. Otros navegadores pueden valerse de distintos métodos para guardar los certificados raíz y usted deberá configurarlos manualmente.

QNAP
Importe el rootCA.crt en los PC que accederán al QNAP NAS.

Cierre y vuelva a abrir los navegadores para que se apliquen los cambios. En la barra de direcciones, escriba https:// (La dirección IP del NAS o el nombre de host):(su puerto seguro) para iniciar sesión en el NAS. Verá el mensaje de certificado en el navegador, que confirma que se identificó el NAS y que la conexión es segura.

QNAP
Una vez verificado, el navegador identifica correctamente el sitio web y confirma que la conexión sea segura.

6. Uso de la autoridad de certificado de Windows Server para emitir y administrar el certificado del NAS.

Si administra múltiples dispositivos mediante Windows Server Active Directory, puede crear un certificado raíz con Windows Server y firme la solicitud del certificado del QNAP NAS. Para ello, instale primero las herramientas de administración de autoridad de certificados en Windows Server. En este ejemplo, utilizamos Windows Server 2012.

QNAP
Puede buscar las “Herramientas de administración de autoridad de certificados” en “Agregar roles y funciones"

Después de instalar las herramientas de administración de autoridad de certificados, verá un elemento nuevo (“AD CS”) en el menú de la izquierda del Administrador del servidor. Esto significa Servicios de certificados de Active Directory. En AD CS debe configurar un certificado raíz para la red. Puede seguir las indicaciones del asistente para crear un nuevo Certificado raíz mediante Windows Server o seleccionar un certificado raíz existente.

QNAP
El Administrador del servidor le informará que debe configurar los servicios de certificados de Active Directory.
QNAP
Siga las indicaciones del asistente para configurar un certificado raíz. Puede crear un nuevo certificado raíz o usar una clave privada existente. En este ejemplo creamos una nueva clave privada.
QNAP
Confirme los parámetros una vez finalizadas todas las opciones. Es posible seleccionar diferentes opciones para los diversos requisitos de utilización.

Una vez finalizada la configuración, el servidor tendrá la autoridad de firmar un certificado. Para utilizar el certificado raíz del servidor para firmar el QNAP NAS, consulte el Capítulo 3.2 para crear un archivo.csr. Una vez creado el archivo.csr, busque “Autoridad de certificado” en el menú Herramientas del administrador de servidor.

QNAP
La ubicación de la función Autoridad de certificado.

En Autoridad de certificado, podrá administrar los certificados que firmó y emitió el servidor. Para firmar el certificado para el NAS, haga clic con el botón secundario del mouse en el servidor, seleccione “Todas las tareas” > “Enviar nueva solicitud” y busque el archivo.csr que contiene la dirección IP o el nombre de host del QNAP NAS*. En “Solicitudes pendientes”, busque la solicitud que envió y haga clic con el botón secundario del mouse para emitir el certificado.

*Hay otros métodos para crear un.csr para el QNAP NAS sin usar la línea de comandos OpenSSL, incluido este sitio web: https://www.gogetssl.com/online-csr-generator/

QNAP
Envíe una nueva solicitud de certificado para el NAS.
QNAP
Busque el archivo.csr que creó para el NAS mediante OpenSSL.
QNAP
Emitir el certificado

Una vez emitido el certificado, selecciónelo en “Certificados emitidos” y exporte el certificado a un archivo para subir el contenido al QNAP NAS junto con la clave privada (consulte el Capítulo 4.1). Luego el NAS utiliza el certificado que emitió Windows Server.

QNAP
Abra los certificados emitidos y seleccione “Copiar al archivo” al ver el certificado emitido.
QNAP
Seleccione "Codificación base-64 X.509 (.CER)" para poder abrir el archivo con Bloc de notas en Windows Server.
QNAP
Después de seguir las indicaciones del Capítulo 4.1 para ingresar el certificado y la clave en el NAS, éste utiliza el certificado que emite Windows Server.
Fecha de liberación: 2016-05-10
¿Fue útil?
Gracias por sus comentarios.
Gracias por sus comentarios. Si tiene alguna pregunta, contacte a support@qnap.com
9% de las personas piensan que es útil.