QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

Utilizzo dei certificati SSL per aumentare la sicurezza della connessione di QNAP NAS

1. Sfide e soluzioni

Durante la navigazione in Internet, le informazioni personali sono esposte a vari rischi. I messaggi inviati e ricevuti potrebbero non essere sicuri e il sito Web visitato potrebbe non essere autentico. Questo rischi può riguardare sia la comunicazione tra l'utente e il sito Web che la comunicazione tra l'utente e QNAP NAS. Utilizzando un Certificate and Private Key (TSL/SSL) per il NAS, è possibile ottenere i seguenti vantaggi e creare una connessione più sicura tra l'utente e QNAP NAS:

  1. Impedire le intercettazioni quando si effettua la connessione al QNAP NAS proprio o della propria azienda.
  2. Impedire manomissioni e verificare di interagire con il QNAP NAS corretto.
  3. L'utente e gli altri utenti NAS non visualizzeranno più avvisi in caso di connessione/sito Web non sicuro.
QNAP
Questo messaggio di avviso viene visualizzato quando un sito Web non dispone di un certificato SSL appropriato.

In questo nota di applicazione, verrà descritto come creare un certificato di origine da usare e un certificato per QNAP NAS* utilizzando OpenSSL e Windows Server. Informazioni dettagliate su come Certificati, Chiavi private e TSL/SSL non saranno indirizzati. Per informazioni su come acquistare certificati SSL myQNAPcloud, consultare Come acquistare e usare certificati SSL myQNAPcloud?

*I metodi forniti solo solo per QNAP NAS e non idonei per siti Web pubblici.

2. Introduzione

2.1. Cos'è SSL?

Transport Layer Security (TLS) e il predecessore, Secure Sockets Layer (SSL) sono protocolli crittografici progettati per fornire la sicurezza delle comunicazioni in una rete di computer.

Nei browser Web in uso, possono essere già presenti alcuni Certificati radice firmati dalle Autorità di certificazione d'origine. Quindi quando si visita un sito Web approvato e reso attendibile da una delle Autorità di certificazione d'origine, il browser riconoscerà il sito come attendibile e stabilirà una connessione protetta per l'uso.

La maggior parte dei siti Web attraversano il processo di certificazione prima di essere riconosciuti da una Autorità di certificazione d'origine per l'accesso pubblico. Ma, considerato che il NAS non sarà accessibile solo dai relativi utenti, è possibile agire come Autorità di certificazione d'origine utilizzando OpenSSL e Windows Server. In questo modo sarà possibile stabilire una connessione protetta tra il dispositivo personale/azienda e il NAS, come mostrato di seguito:

QNAP
In questo articolo sarà mostrato come creare il certificato autofirmato utilizzando OpenSSL (sinistra).
Nell'ultimo capitolo sarà mostrato come creare un Certificato d'origine con Windows Server (destra).
QNAP Autorità di certificazione d'origine
QNAP Certificato d'origine nel dispositivo
QNAP Certificato su NAS

Per l'uso Home, è possibile anche usare http://www.selfsignedcertificate.com/ per creare rapidamente un certificato autofirmato senza necessità di OpenSSL riga dei comandi (questo metodo è consigliato solo per uso domestico/privato). Per maggiori informazioni consultare il Capitolo 3.3.

2.2. Requisito di sistema per OpenSSL

Per creare un Certificato e un file Chiave privata per proteggere la connessione con QNAP NAS, è possibile usare OpenSSL o acquistare un Certificato da un'Autorità di certificazione riconosciuta. Il pacchetto OpenSSL può essere scaricato per Linux da: https://www.openssl.org/

Per Windows e altri sistemi operativi, è possibile trovare altre versioni di OpenSSL sviluppate dai membri della community OpenSSL. In questo esempio viene usato Win32OpenSSL. Questo può essere scaricato da https://www.openssl.org/community/binaries.html

*Visual C++ 2008 deve essere installato prima di usare OpenSSL in Windows. Può essere scaricato da:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Creare un certificato

3.1. Utilizzo di OpenSSL per creare il certificato d'origine

Dopo avere scaricto OpenSSL for Windows, decomprimere il pacchetto per visualizzare la cartelle seguenti:

QNAP
Il contenuto di Win32OpenSSL. In questo esempio il pacchetto viene salvato in C:\OpenSSL-Win32

Fare clic con il tasto destro del mouse sul pulsante Avvia e aprire il "Prompt dei comandi (Admin)". Inserire il comando seguente

CD C:\OpenSSL-Win32\bin

*Scegliere il percorso file in cui è stato salvato il pacchetto decompresso.

QNAP
Aprire il "Prompt dei comandi (Admin)" facendo clic con il tasto destro del mouse sul pulsante Avvio.
QNAP
Usare CD C:\OpenSSL-Win32\bin per passare alla cartella cestino

Prima di iniziare, potrebbe essere necessario identificare OpenSSL il file di configurazione. Per impostare manualmente il percorso file, inserire il comando seguente:

Set openssl_CONF=openssl.cnf QNAP
Il nome file openssl.cnf potrebbe essere diverso a seconda delle versione di OpenSSL. Sarà necessario modificare il comando di conseguenza.

Dopo avere usato questa riga comandi per creare la chiave radice privata, è possibile scegliere di creare la chiave (fino a 4096 caratteri). In questo esempio la chiave viene impostata su 2048 caratteri. Questa chiave privata sarà la base di attendibilità del certificato, quindi il comando -des3 deve essere usato per consentire di impostare una password per questa chiave. Questa chiave e la password devono essere tenute segrete. Per creare una chiave senza una password, rimuovere il comando -des3:

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Creazione di una chiave privata di origine protetta da password.

Dopo avere creato la chiave, usare il comando seguente per creare e configurare un certificato autofirmato associato alla chiave. Modificando i giorni, è possibile decidere la data di scadenza del certificato (qui sono usati 730 giorni come esempio). Dopo avere inserito questo comando, è necessario inserire la password della chiave e le informazioni aggiuntive che saranno memorizzate nel certificato. Nella sezione Nome comune, inserire il nome del certificato d'origine.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
Creazione di un certificato associato con la chiave privata creata.

Una chiave privata denominata rootCA.key e un certificato SSL denominato rootCA.pem saranno salvati nella cartella cestino. Il certificato è autofirmato, valido per 730 giorni e funzionerà come certificato di origine per un QNAP NAS quando si creano differenti certificati per ogni NAS.

QNAP
La chiave privata di nuova creazione e il certificato SSL.

3.2. Utilizzo di OpenSSL per creare un certificato per il NAS

Dopo avere creato il certificato di origine, usare il comando seguente per creare un'altra chiave privata associata e un certificato per QNAP NAS. L'operazione è identica alla creazione di un certificato e di una chiave privata di origine. È possibile personalizzare i caratteri della chiave, ma non è necessaria alcuna password. Quando si crea un certificato per un QNAP NAS, il Nome comune deve essere l'indirizzo IP o il nome host* di QNAP NAS.

*Alcuni browser possono considerare un indirizzo IP non sicuro e visualizzeranno ancora un messaggio di avviso.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Creazione di un certificato e una chiave privata per QNAP NAS. Verificare di inserire l'indirizzo IP/nome host (example.myqnapcloud.com) che verrà usato per connettersi a QNAP NAS.

Due file saranno salvati nella cartella cestino con nome device.key e device.csr. Sarà necessario inserire il comando seguente per firmare il certificato creato con la chiave privata del certificato radice. È possibile decidere la data di scadenza del certificato (qui sono usati 730 giorni come esempio).

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Accesso device.csr. Se è stata creata una password per rootCA.key, inserirla.

3.3. Utilizzo di www.selfsignedcertificate.com per creare un certificato per il NAS

È possibile creare un certificato autofirmato su Internet. *Utilizzando http://www.selfsignedcertificate.com/, inserire l'indirizzo IP/nome host di QNAP NAS e fare clic su "Genera". Verificare che l'indirizzo inserito è uguale a quello usato per visitare il NAS.

*Alcuni browser possono considerare un indirizzo IP non sicuro e visualizzeranno ancora un messaggio di avviso.

QNAP
Inserire l'indirizzo IP/nome host di QNAP NAS
QNAP
Scaricare il file .key e .cert.

4. Stabilire una connessione protetta

4.1. Configurare QNAP NAS per abilitare una connessione protetta

Le azioni riportate creeranno un nuovo file denominato device.crt utilizzando device.key, quindi sarà possibile scaricare address.cert e address.key da www.selfsignedcertificate.com. A questo punto, è necessario caricare il contenuto dei file .crt (o .cert) e .key su un QNAP NAS. Aprire i file con Notepad (p un altro editor di testo)*, accedere al NAS, andare su “Pannello di controllo” > “Sicurezza” >“Certificato e Chiave privata”, copiare tutto il contenuto dei file chiave e certificato nei rispettivi campi, quindi fare clic su “Applica”.

*Non usare Microsoft Word per aprire il file. Non usare Word Wrap nell'editor di testo.

QNAP
Questi file sono creati o scaricati dopo il processo indicato. Aprire i file usando Notepad o un altro editor di testo.
QNAP
Copiare il contenuto dai file chiave e certificato e incollarlo in “Certificato e Chiave privata” nel Pannello di controllo.
QNAP
Fare clic su Applica per caricare la chiave incollata e i dati del certificato.
QNAP
Lo stato “Certificato e Chiave privata” cambierà dall'uso di impostazioni predefinite a “Caricato il certificato protetto da utilizzare”

Andare su "Pannello di controllo" > "Applicazioni" > "Web Server" e selezionare “Abilita connessione protetta (HTTPS)”.

QNAP
Abilitare una connessione protetta per il server Web dopo avere applicato il certificato

5. Uso della connessione protetta

5.1. Archiviare il Certificato d'origine nei dispositivi e connettersi in modo sicuro al NAS

Per i certificati d'origine creati utilizzando OpenSSL, modificare il nome da rootCA.pem in rootCA.crt*. Per i certificati d'origine creati utilizzando www.selfsignedcertificate.com, modificare il nome da address.cert a address.crt. Quindi trasferire e aprire il file rinominato nel dispositivo che accederà al NAS.

*Potrebbe non essere richiesto per alcuni sistemi operativi. Sistemi operativi differenti potrebbero usare altri metodi per importare certificati.

Quando si importa il certificato in Windows, le informazioni del certificato saranno visualizzate per conferma. Fare clic su “Installa certificato” per archiviarlo nel PC. Quando viene richiesto di archiviazione questo certificato, scegliere le Autorità di certificazione d'origine attendibili. Prima di finire, Windows potrebbe chiedere di confermare l'origine. Dal momento che è stato l'utente stesso a crearlo, fare clic su "Sì". Dopo l'installazione i browser devono iniziare a usare il certificato*.

*Internet Explorer ed Edge useranno questi certificati per impostazione predefinita. Altri browser potrebbero usare metodi differenti per archiviare i certificati di origine e sarà necessario configurarli manualmente.

QNAP
Importare rootCA.crt nei PC che accederanno a QNAP NAS.

Chiudere e riaprire i browser per applicare le modifiche. Nella barra degli indirizzi, inserire https:// (l'indirizzo IP del NAS o il Nome host):(porta sicura) per accedere al NAS. Il messaggio del certificato, visualizzato nel browser, conferma che il NAS è stato identificato e che la connessione è sicura.

QNAP
Dopo la verifica, il browser identificherà correttamente il sito Web e confermerà che la connessione è sicura.

6. Usare l'autorità di certificazione server Windows per emettere e gestire il certificato del NAS

Se si gestiscono più dispositivi utilizzando la directory attiva di server Windows, è possibile creare un certificato di origine utilizzando Windows Server e sottoscrivendo la richiesta di certificato di QNAP NAS. A tal fine, è necessario prima installare gli strumenti di gestione dell'autorità di certificazione in Windows Server. In questo esempio, viene usato Windows Server 2012.

QNAP
L'opzione “Certificate Authority Management Tools” (Strumenti di gestione dell'Autorità di certificazione) si trova in “Add Roles and Features" (Aggiungi ruoli e funzioni)

Dopo avere installato gli strumenti di gestione dell'autorità di certificazione, nel menu a sinistra di Server Manager, sarà presente un nuovo elemento (“AD CS”). Questo indica Servizi di certificazione directory attiva. In AD CS è necessario configurare un certificato d'origine per la rete. Seguire la procedura guidata per creare un nuovo Certificato d'origine utilizzando Windows Server oppure selezionare un certificato d'origine esistente.

QNAP
Il Server Manager indicherà di configurare i servizi di certificazione della directory attiva del server.
QNAP
Seguire la procedura guidata per configurare un certificato d'origine. È possibile creare un nuovo certificato di origine oppure usare una chiave privata esistente. In questo esempio sarà creata una nuova chiave privata.
QNAP
Confermare le impostazioni dopo avere completato tutte le opzioni. È possibile selezionare opzioni differenti per differenti requisiti d'uso.

Al termine della configurazione, il server disporrà dell'autorità per firmare un certificato. Per usare il certificato di origine del server per firmare QNAP NAS, consultare il Capitolo 3.2 per creare un file .csr certificato. Dopo avere creato il file .csr, individuare la “Autorità di certificazione” nel menu degli strumenti di Server Manager.

QNAP
La posizione della funzione dell'Autorità di certificazione.

In Autorità di certificazione, sarà possibile gestire i certificati firmati ed emessi dal server. Per accedere al certificato dal NAS, fare clic con il tasto destro del mouse sul server, selezionare “Tutte le attività” > “Invia nuova richiesta”, quindi trovare il file .csr contenente l'indirizzo IP/il nome host di QNAP NAS*. In “Richieste in sospeso”, trovare la richiesta inviata e selezionarla con il tasto destro del mouse per emettere il certificato.

*Sono disponibili altri metodi per creare un .csr per QNAP NAS senza utilizzare l'interfaccia della riga dei comandi OpenSSL, incluso questo sito Web: https://www.gogetssl.com/online-csr-generator/

QNAP
Inviare una nuova richiesta di certificato per il NAS.
QNAP
Trovare il file .csr creato per il NAS utilizzando OpenSSL.
QNAP
Emettere il certificato

Dopo avere emesso il certificato, selezionarlo in “Certificati emessi” ed esportare il certificato in un file per caricarne il contenuto in QNAP NAS con la chiave privata (consultare il Capitolo 4.1). Quindi il NAS utilizzerà il certificato emesso da Windows Server.

QNAP
Aprire i Certificati emessi e selezionare “Copia su file” quando si visualizza il certificato emesso.
QNAP
Selezionare "Base-64 encoded X.509 (.CER)" per potere aprire il file con Notepad in Windows Server.
QNAP
Dopo avere seguito le indicazioni del Capitolo 4.1 per inserire il Certificato e la Chiave nel NAS, il NAS utilizzerà il certificato emesso da Windows Server.
 
Data di rilascio: 2016-05-10
È stato utile?
Grazie per il feedback.
Grazie per il feedback. Per eventuali domande, contattare support@qnap.com
9% delle persone lo ritengono utile.