QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

Utiliser des certificats SSL pour renforcer la sécurité des connexions à votre NAS QNAP

1. Défis et solutions

Lorsque vous naviguez sur Internet, vous risquez d'exposer vos informations personnelles. Il est possible que les messages que vous envoyez et recevez ne soient pas sécurisés et que les sites web sur lesquels vous vous rendez ne soient pas authentiques. Ce risque s'applique à la fois à vos communications avec les sites web et ainsi qu'à vos communications avec votre NAS QNAP. En utilisant un Certificat et une Clé privée (TSL/SSL) pour votre NAS, vous pouvez profiter des avantages suivants, mais aussi renforcer la sécurité de votre connexion au NAS QNAP :

  1. Empêche l'écoute clandestine lorsque vous vous connectez à votre NAS QNAP ou à celui de votre entreprise.
  2. Empêche le piratage et veille à ce que vous interagissiez avec le bon NAS QNAP.
  3. Tout comme les autres utilisateurs du NAS, vous ne verrez plus d'avertissement indiquant que la connexion/le site web n'est pas sécurisé.
QNAP
Ce message d'avertissement s'affiche lorsqu'aucun certificat SSL approprié n'est disponible pour un site web.

Dans ces notes d'application, nous expliquerons comment créer un certificat racine utilisable ainsi qu'un certificat pour votre NAS QNAP* en employant OpenSSL et Windows Server. Nous ne fournirons pas d'informations détaillées sur le fonctionnement des Certificats, des Clés privées et du TSL/SSL. Pour savoir comment acheter des certificats SSL myQNAPcloud, reportez-vous à Comment achète-t-on et utilise-t-on des certificats SSL myQNAPcloud ?

*Les méthodes fournies ne concernent que les NAS QNAP et ne conviennent pas pour les sites web publics.

2. Présentation

2.1. En quoi consiste le SSL ?

Le protocole Transport Layer Security (TLS) et son prédécesseur, le protocole Secure Sockets Layer (SSL), sont des protocoles cryptographiques conçus pour assurer la sécurité des communications sur un réseau informatique.

Certains certificats racines signés par des autorités de certification racine sont peut-être déjà intégrés à vos navigateurs web. Par conséquent, lorsque vous vous rendrez sur un site web approuvé et certifié par l'une de ces autorités de certification racine, votre navigateur web reconnaîtra ce site comme étant un site de confiance et y établira une connexion sécurisée pour que vous puissiez l'utiliser.

La plupart des sites web doivent passer par un processus de certification avant d'être reconnus fiables pour un accès public par l'autorité de certification racine. Mais étant donné que les utilisateurs de votre NAS seront les seuls personnes susceptibles d'y accéder, il vous est possible de jouer le rôle d'autorité de certification racine en employant OpenSSL et Windows Server. Vous pourrez alors établir une connexion sécurisée entre vos appareils personnels/professionnels et le NAS comme illustré ci-dessous :

QNAP
Cet article vous montrera comment créer un certificat autosigné en utilisant l'OpenSSL (à gauche).
La dernière section vous montrera comment créer un certificat racine à l'aide de Windows Server (à droite).
QNAP Autorité de certification racine
QNAP Certificat racine sur l'appareil
QNAP Certificat sur le NAS

Pour un usage domestique, vous pouvez aussi utiliser http://www.selfsignedcertificate.com/ pour créer un certificat autosigné en un clin d'œil sans avoir recours à une ligne de commande OpenSSL (cette méthode n'est recommandée que pour un usage domestique/privé). Reportez-vous à la section 3.3 pour plus d'informations.

2.2. Configuration système requise pour OpenSSL

Pour créer un certificat ainsi qu'un fichier de clé privée afin de sécuriser la connexion à votre NAS QNAP, vous pouvez utiliser OpenSSL ou acheter un certificat auprès d'une autorité de certification approuvée. Le package OpenSSL pour Linux peut être téléchargé sur : https://www.openssl.org/

Pour Windows et les autres systèmes d'exploitation, vous pouvez trouver d'autres versions d'OpenSSL qui ont été développées par les membres de la communauté OpenSSL. Dans cet exemple, nous utiliserons Win32OpenSSL. Vous pouvez le télécharger sur https://www.openssl.org/community/binaries.html

* Visual C++ 2008 doit être installé avant de pouvoir utiliser OpenSSL sous Windows. Vous pouvez le télécharger sur :
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Créer un certificat

3.1. Utiliser OpenSSL pour créer le Certificat racine

Une fois que vous aurez téléchargé OpenSSL pour Windows, décompressez l'archive et vous verrez les dossiers suivants :

QNAP
Le contenu de Win32OpenSSL. Dans cet exemple, l'archive est enregistrée dans C:\OpenSSL-Win32

Faites un clic droit sur le bouton Démarrer et ouvrez « Invite de commande » (en tant qu'administrateur). Entrez ensuite la commande suivante :

CD C:\OpenSSL-Win32\bin

*Adaptez le chemin de fichier selon l'emplacement où vous avez enregistré l'archive décompressée.

QNAP
Ouvrez « Invite de commande » (en tant qu'administrateur) en faisant un clic droit sur le bouton Démarrer.
QNAP
Utilisez CD C:\OpenSSL-Win32\bin pour accéder au dossier Bin

Avant de commencer, vous devrez peut-être identifier le fichier de configuration d'OpenSSL. Pour définir manuellement le chemin du fichier de configuration, entrez la commande suivante :

Set openssl_CONF=openssl.cnf QNAP
Le nom du fichier openssl.cnf peut varier selon votre version d'OpenSSL. Il vous faudra adapter la commande en conséquence.

Une fois que vous avez utilisé cette ligne de commande pour créer la clé racine privée, vous pouvez choisir de créer la clé (4 096 caractères maximum). Dans cet exemple, nous avons défini une clé de 2 048 caractères. Cette clé privée sera utilisée pour approuver tous vos certificats, il est donc nécessaire d'ajouter -des3 à la ligne de commande pour définir le mot de passe de cette clé. Cette clé et ce mot de passe doivent rester secrets. Pour créer une clé sans mot de passe, vous pouvez retirer -des3 de la ligne de commande :

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Créer une clé privée racine protégée par un mot de passe.

Une fois la clé privée créée, utilisez la commande suivante pour créer et configurer un certificat autosigné associé à la clé. En changeant la valeur de -days, vous pouvez choisir la date d'expiration du certificat (nous utilisons 730 jours dans l'exemple). Après avoir entré cette commande, vous devez entrer le mot de passe de la clé privée et les informations supplémentaires qui seront stockées dans le certificat. Entrez le nom de ce certificat racine dans la section Nom commun.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
Créer un certificat associé à la clé privée que vous avez créée.

Une clé privée nommée rootCA.key et un certificat SSL nommé rootCA.pem sont maintenant enregistrés dans le dossier Bin. Le certificat est autosigné et valide pendant 730 jours. Il jouera le rôle de certificat racine pour un NAS QNAP lorsque vous créerez différents certificats pour chacun des NAS.

QNAP
Clé privée et certificat SSL qui viennent d'être créés.

3.2. Utiliser OpenSSL pour créer un certificat pour votre NAS

Une fois le certificat racine créé, utilisez la commande suivante pour créer une autre clé privée et un autre certificat associés pour votre NAS QNAP. La procédure est la même que celle que vous venez d'employer pour créer la clé privée racine et le certificat racine. Vous pouvez personnaliser les caractères de la clé, mais aucun mot de passe n'est nécessaire. Lorsque vous créez un certificat pour un NAS QNAP, le Nom commun doit être l'adresse IP ou le nom d'hôte* du NAS QNAP.

*Il est possible que certains navigateurs considèrent automatiquement qu'une adresse IP est non sécurisée et continuent à afficher un message d'avertissement.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Créer une clé privée et un certificat pour votre NAS QNAP. Assurez-vous que vous avez correctement saisi l'adresse IP/le nom d'hôte (par exemple,.myqnapcloud.com) que vous utiliserez pour vous connecter au NAS QNAP.

Deux fichiers nommés device.key et device.csr seront enregistrés dans le dossier Bin. Vous devrez entrer la commande ci-dessous pour signer le certificat créé à l'aide de la clé privée du certificat racine. Vous pouvez choisir la date d'expiration du certificat (nous utilisons 730 jours dans l'exemple) :

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Signer device.csr. Si vous avez défini un mot de passe pour rootCA.key, vous devrez l'entrer.

3.3. Utiliser www.selfsignedcertificate.com pour créer un certificat pour votre NAS

Il est possible de créer un certificat autosigné sur Internet. * Sur http://www.selfsignedcertificate.com/, entrez l'adresse IP/le nom d'hôte de votre NAS QNAP et cliquez sur « Generate ». Assurez-vous que l'adresse que vous avez saisie est bien celle que vous utilisez pour accéder à votre NAS.

*Il est possible que certains navigateurs considèrent automatiquement qu'une adresse IP est non sécurisée et continuent à afficher un message d'avertissement.

QNAP
Entrez l'adresse IP/le nom d'hôte de votre NAS QNAP
QNAP
Téléchargez les fichiers.key et.cert.

4. Établir une connexion sécurisée

4.1. Configurer votre NAS QNAP pour activer la connexion sécurisée

Les opérations figurant ci-dessus créeront une nouveau fichier nommé device.crt à l'aide de la clé de l'appareil, et vous pourrez télécharger adresse.cert and adresse.key sur www.selfsignedcertificate.com. Vous devez maintenant transférer le contenu des fichiers.crt (ou.cert) et.key vers un NAS QNAP. Ouvrez ces fichiers avec le Bloc-notes (ou un autre éditeur de texte)*, connectez-vous à votre NAS, rendez-vous dans « Panneau de configuration » > « Sécurité » > « Certificat et clé privée », copiez/collez la totalité du contenu des fichiers de la clé et du certificat dans leurs champs respectifs, puis cliquez sur « Appliquer ».

*N'utilisez pas Microsoft Word pour ouvrir ces fichiers. N'utilisez pas le Retour à la ligne automatique de votre éditeur de texte.

QNAP
Ces fichiers seront créés ou téléchargés une fois que vous aurez suivi la procédure ci-dessus. Ouvrez-les en utilisant le Bloc-notes ou un autre éditeur de texte.
QNAP
Copiez le contenu des fichiers de la clé et du certificat et collez-le dans « Certificat et clé privée » dans le Panneau de configuration.
QNAP
Cliquez sur Appliquer pour transférer les données de clé et de certificat que vous venez de coller.
QNAP
Le statut de « Certificat et clé privée » passera de Utiliser les paramètres par défaut à « Certificat sécurisé utilisé transféré »

Rendez-vous dans « Panneau de configuration » > « Applications » > « Serveur web » et cochez « Activer la connexion sécurisée (HTTPS) ».

QNAP
Activer la connexion sécurisée pour le serveur web après avoir appliqué le certificat

5. Utiliser la connexion sécurisée

5.1. Stocker le certificat racine sur vos appareils et vous connecter à votre NAS en toute sécurité

Pour les certificats racines créés en utilisant OpenSSL, renommez rootCA.pem en rootCA.crt*. Pour les certificats créés par www.selfsignedcertificate.com, renommez adresse.cert en adresse.crt. Transférez et ouvrez ensuite le fichier renommé sur l'appareil qui accèdera au NAS.

*Cela ne sera peut-être pas nécessaire pour certains systèmes d'exploitation. Il est possible que les différents systèmes d'exploitation emploient d'autres méthodes d'importation de certificats.

Lorsque vous importez le certificat sous Windows, ses informations s'affichent pour que vous les confirmiez. Cliquez sur « Installer le certificat » pour le stocker sur votre PC. Lorsque Windows vous demandera où stocker ce certificat, choisissez Autorités de certification racine reconnues comme fiables. Avant de terminer, il est possible que Windows vous demande de confirmer l'origine du certificat. Étant donné que c'est vous qui l'avez créé, vous pouvez cliquer sur « Oui ». Après l'installation, vos navigateurs devraient commencer à utiliser ce certificat*.

*Par défaut, Internet Explorer et Edge utiliseront ces certificats. Il est possible que les autres navigateurs emploient d'autres méthodes pour stocker les certificats racines. Vous devrez alors les configurer manuellement.

QNAP
Importez le fichier rootCA.crt sur vos PC qui accèderont au NAS QNAP.

Fermez et rouvrez vos navigateurs pour que les modifications prennent effet. Entrez https://(l'adresse IP ou le nom d'hôte de votre NAS):(votre port sécurisé) dans la barre d'adresse pour vous connecter au NAS. Dans votre navigateur, vous verrez un message concernant le certificat qui vous confirmera que votre NAS a été identifié et que la connexion est sécurisée.

QNAP
Une fois la vérification effectuée, votre navigateur identifiera correctement votre site web et confirmera que la connexion est sécurisée.

6. Utiliser l'autorité de certification Windows Server pour émettre et gérer le certificat de votre NAS.

Si vous gérez plusieurs appareils à l'aide d'Active Directory sous Windows Server, vous pouvez créer un certificat racine à l'aide de Windows Server puis signer la demande de certificat pour votre NAS QNAP. Pour ce faire, commencez par installer les Outils de gestion des autorités de certification de Windows Server. Dans cet exemple, nous utilisons Windows Server 2012.

QNAP
Vous pouvez trouver les « Outils de gestion des autorités de certification » dans « Ajouter des rôles et fonctionnalités »

Une fois les Outils de gestion des autorités de certification installés, vous découvrirez une nouvelle option (« AD CS ») dans le menu de gauche du Gestionnaire de serveurs. Cet acronyme signifie Services de certification Active Directory. Dans AD CS, vous devez configurer un certificat racine pour votre réseau. Vous pouvez suivre les instructions de l'assistant pour créer un nouveau certificat racine à l'aide de Windows Server ou sélectionner un certificat racine existant.

QNAP
Le Gestionnaire de serveurs vous informera pour vous aider à configurer les Services de certification Active Directory de votre serveur.
QNAP
Suivez les instructions de l'assistant pour configurer un certificat racine. Vous pouvez créer un nouveau certificat racine ou utiliser une clé privée existante. Dans cet exemple, nous créons une nouvelle clé privée.
QNAP
Confirmez vos paramètres une fois que toutes les options sont configurées. Diverses options peuvent être sélectionnées pour les différentes besoins d'utilisation.

Une fois la configuration terminée, votre serveur sera habilité à signer un certificat. Pour utiliser le certificat racine du serveur pour signer le certificat de votre NAS QNAP, reportez-vous à la section 3.2 pour créer un fichier de certificat.csr. Après avoir créé le fichier.csr, cherchez l'option « Autorité de certification » dans le menu Outils du Gestionnaire de serveurs.

QNAP
Emplacement de la fonction Autorité de certification.

Dans Autorité de certification, vous pourrez gérer les certificats qui ont été signés et émis par votre serveur. Pour signer le certificat pour le NAS, faites un clic droit sur votre serveur, sélectionnez « Toutes les tâches » > « Soumettre une nouvelle demande », puis localisez le fichier.csr dont le nom comporter l'adresse IP/le nom d'hôte de votre NAS QNAP*. Dans « Demandes en attente », recherchez la demande que vous venez de soumettre, puis faites un clic droit dessus pour émettre le certificat.

*D'autres méthodes peuvent être utilisées pour créer un fichier.csr pour votre NAS QNAP sans avoir à utiliser l'interface à ligne de commande d'OpenSSL. Vous pouvez par exemple vous rendre sur ce site web : https://www.gogetssl.com/online-csr-generator/

QNAP
Soumettre une nouvelle demande de certificat pour votre NAS.
QNAP
Recherchez le fichier.csr que vous avez créé pour votre NAS en utilisant OpenSSL.
QNAP
Émettre le certificat

Une fois le certificat émis, sélectionnez-le dans « Certificats émis » et exportez-le vers un fichier afin de transférer son contenu vers votre NAS QNAP avec la clé privée (reportez-vous à la section 4.1). Votre NAS va maintenant utiliser le certificat émis par Windows Server.

QNAP
Rendez-vous dans Certificats émis et sélectionnez « Copier vers un fichier » tandis que votre certificat émis est affiché.
QNAP
Sélectionnez « X.509 encodé en base 64 (.CER) » de manière à ce que vous puissiez ouvrir le fichier avec le Bloc-notes sous Windows Server.
QNAP
Une fois que vous aurez suivi la section 4.1 pour entrer le certificat et la clé sur votre NAS, votre NAS utilisera le certificat émis pour par Windows Server.
Date de sortie: 2016-05-10
Ont-elles été utiles pour vous ?
Merci pour votre commentaire.
Merci pour votre commentaire. Veuillez contacter support@qnap.com si vous avez des questions.
17% des utilisateurs pensent que ces informations sont utiles.