QNAP Systems, Inc. - ネットワーク接続ストレージ(NAS)

Language

Support

SSL 証明書を使用し、QNAP NAS 接続のセキュリティを強化する

1. 課題と解決策

インターネットを閲覧するとき、個人情報が漏洩する恐れがあります。 あなたが送受信するメッセージは安全ではないかもしれません。あなたがアクセスする Web サイトは本物ではないかもしれません。 このような危険性は、あなたと Web サイトの間の通信にも、あなたと QNAP NAS の間の通信にも潜在します。 NAS で証明書と秘密鍵 (TSL/SSL) を利用することには次のような利点があり、あなたと QNAP NAS の接続がより安全になります。

  1. 個人または会社の QNAP NAS に接続するとき、盗聴を防ぎます。
  2. 改ざんを防ぎ、正しい QNAP NAS とやりとりします。
  3. あなたと他の NAS ユーザーに、接続/Web サイトが安全ではないという警告が表示されなくなります。
QNAP
この警告メッセージは、Web サイトに適切な SSL 証明書がないときに表示されます。

このアプリケーションノートでは、OpenSSL と Windows Server を利用し、あなたが使用するためのルート証明書と QNAP NAS* の証明書を作成する方法について説明します。 証明書、秘密鍵、TSL/SSL の動作に関する詳細については説明しません。 myQNAPcloud SSL 証明書の購入方法については、「myQNAPcloud SSL 証明書を購入し、使用するには?を参照してください。

*ここに記載する手法は QNAP NAS のみに適用され、一般 Web サイトには適していません。

2. 序文

2.1. SSL とは何か?

Transport Layer Security (TLS) とその後継、Secure Sockets Layer (SSL) は暗号プロトコルであり、コンピューターネットワークで通信セキュリティを提供するように設計されています。

Web ブラウザーには、ルート証明書機関が署名したルート証明書がすでに与えられていることがあります。 ルート証明書機関が承認し、信頼している Web サイトにアクセスするとき、ブラウザーはそのサイトが信頼されていることを認識し、あなたに使用してもらうために安全な接続を確立します。

Web サイトのほとんどは証明書プロセスを経てから、ルート証明書機関の承認を受け、一般にアクセスできるようになります。 NAS はそのユーザーだけがアクセスするので、OpenSSL と Windows Server を利用し、ルート証明書機関として機能できます。 下の図のように、個人/会社のデバイスと NAS の間で安全な接続を確立できます。

QNAP
この記事では、OpenSSL (左) を使用し、自己署名の証明書を作成する方法を紹介します。
最後の章では、Window Server (右) を使用し、ルート証明書を作成する方法を紹介します。
QNAP ルート証明書機関
QNAP デバイスのルート証明書
QNAP NAS 上の証明書

自宅利用の場合、 http://www.selfsignedcertificate.com/ を利用すると、OpenSSL コマンドラインを使わずに、自己署名の証明書を簡単に作成できます (この方法は、自宅/プライベート利用の場合にのみ推奨されます)。 詳細情報については、3.3 章を参照してください。

2.2. OpenSSL のシステム要件

証明書と秘密鍵のファイルを作成し、QNAP NAS の接続をセキュリティで保護するために、OpenSSL を利用したり、信頼できる証明書機関から証明書を購入したりできます。 Linux 用の OpenSSL パッケージは https://www.openssl.org/ からダウンロードできます。

Windows やその他のオペレーティングシステムの場合、OpenSSL コミュニティメンバーが開発した他のバージョンの OpenSSL を見つけることができます。 この例では、Win32OpenSSL を使用します。https://www.openssl.org/community/binaries.html からダウンロードできます。

*OpenSSL を Windows で使用する前に、Visual C++ 2008 をインストールする必要があります。 以下からダウンロードできます。
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. 証明書の作成

3.1. OpenSSL を使用し、ルート証明書を作成する

OpenSSL for Windows をダウンロードしたら、パッケージを解凍します。次のフォルダーが表示されます。

QNAP
Win32OpenSSL のコンテンツ。 この例では、パッケージは C:\OpenSSL-Win32 に保存されます。

開始ボタンを右クリックし、[Command Prompt (Admin) (コマンドプロンプト (管理者))] を開きます。 次のコマンドを入力します。

CD C:\OpenSSL-Win32\bin

*解凍したパッケージを保存したファイルパスを変更してください。

QNAP
開始ボタンを右クリックし、[Command Prompt (Admin) (コマンドプロンプト (管理者))] を開きます。
QNAP
CD C:\OpenSSL-Win32\bin を使用し、bin フォルダーに移動します。

開始前、場合によっては、OpenSSL 構成ファイルを特定する必要があります。 構成ファイルのパスを手動で設定するには、次のコマンドを入力します。

Set openssl_CONF=openssl.cnf QNAP
openssl.cnf ファイル名は OpenSSL のバージョンによって異なる場合があります。 コマンドを適宜変更する必要があります。

このコマンドラインを利用し、秘密のルート鍵を作成したら、鍵の作成を選択できます (最大 4096 文字)。 この例では、鍵を 2048 文字に設定します。 この秘密鍵は証明書のあらゆる信頼の基礎となります。そのため、–des3 コマンドを利用し、この鍵のパスワード設定を弊社に許可する必要があります。 この鍵とパスワートは機密として保存する必要があります。 パスワードなしで鍵を作成するには、-des3 コマンドを削除します。

openssl genrsa -des3 -out rootCA.key 2048 QNAP
パスワード保護されたルート秘密鍵を作成する

秘密鍵が作成されたら、次のコマンドを利用し、鍵との組み合わせとなる自己署名の証明書を作成し、構成します。 証明書の有効期限を設定し、-days を変更できます (例として 730 日に設定します)。 コマンドの入力後、鍵のパスワードと追加情報を入力する必要があります。それらは証明書に保管されます。 Common Name (一般名) セクションに、このルート証明書の名前を入力してください。

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
作成した秘密鍵との組み合わせになる証明書を作成する

rootCA.key という名前の秘密鍵と rootCA.pem という名前の SSL 証明書が bin フォルダーに保存されます。 証明書は自己署名され、730 日間有効になります。NAS ごとに異なる証明書を作成するとき、QNAP NAS のルート証明書として機能します。

QNAP
新しく作成された秘密鍵と SSL 証明書

3.2. OpenSSL を使用し、NAS の証明書を作成する

ルート証明書を作成すると、次のコマンドを利用し、QNAP NAS 用に、秘密鍵と証明書のもう 1 つの組み合わせを作成します。 ルートの秘密鍵と証明書の作成と同じできます。 鍵の文字をカスタマイズできますが、パスワードは必要ありません。 QNAP NAS の証明書を作成するとき、一般名は QNAP NAS の IP アドレスかホスト名*にする必要があります。

*一部のブラウザーは IP アドレスを「安全でない」と自動的に見なし、警告メッセージを表示することがあります。

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
QNAP NAS の秘密鍵と証明書を作成します。 QNAP NAS への接続に使用する IP アドレス/ホスト名を入力します (example.myqnapcloud.com)。

「device.key」という名前と「device.csr」という名前のファイルが bin フォルダーに保存されます。下のコマンドを入力し、作成した証明書にルート証明書の秘密鍵で署名する必要があります。 証明書の有効期限を設定できます (例として 730 日に設定します)。

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
device.csr に署名します。rootCA.key のパスワードを作成している場合、それを入力する必要があります。

3.3. www.selfsignedcertificate.com を使用し、NAS の証明書を作成する

インターネットで自己署名証明書を作成できます。 *http://www.selfsignedcertificate.com/ を利用し、QNAP NAS の IP アドレス/ホスト名を入力し、[Generate (生成)] をクリックします。 入力したアドレスは NAS へのアクセス時に使用するアドレスと同じになります。

*一部のブラウザーは IP アドレスを「安全でない」と自動的に見なし、警告メッセージを表示することがあります。

QNAP
QNAP NAS の IP アドレス/ホスト名を入力します。
QNAP
.key ファイルと .cert ファイルをダウンロードします。

4. 安全な接続を確立する

4.1. QNAP NAS を構成し、安全な接続を有効にする

上記の操作では、device.key を利用し、「device.crt」という名前の新しいファイルが作成されます。address.cert と address.key を www.selfsignedcertificate.com からダウンロードできます。 .crt (または .cert) ファイルと .key ファイルのコンテンツを QNAP NAS にアップロードする必要があります。 これらのファイルを Notepad (または、別のテキストエディター)*で開き、NAS にログインし、[Control Panel (コントロールパネル)] > [Security (セキュリティ)] > [Certificate & Private Key (証明書と秘密鍵)] の順に進み、鍵ファイルと証明書ファイルのコンテンツ全部をそれぞれのフィールドにコピーし、[Apply (適用)] をクリックします。

*Microsoft Word は使用しないでください。 テキストエディターの折り返し機能を使用しないでください。

QNAP
上記のプロセス後、これらのファイルが作成されるか、ダウンロードされます。 Notepad か他のテキストエディターでファイルを開きます。
QNAP
鍵ファイルと証明書ファイルのコンテンツをコピーし、コントロールパネルの [Certificate and Private Key (証明書と秘密鍵)] に貼り付けます。
QNAP
[Apply (適用)] をクリックし、貼り付けた鍵と証明書データをアップロードします。
QNAP
[Certificate & Private Key (証明書と秘密鍵)] の状態が既定の設定から [Uploaded secure certificate being used (アップロードされた安全証明書が使用されています)] に変わります。

[Control Panel (コントロールパネル)] > [Applications (アプリケーション)] > [Web Server ( Web サーバー)] の順に進み、[Enable secure connection (HTTPS) (安全な接続を有効にする (HTTPS))] を選択します。

QNAP
証明書の適用後、Web サーバーの安全な接続が有効になります

5. 安全な接続を使用する

5.1. デバイスにルート証明書を保存し、NAS に安全に接続する

OpenSSL で作成されたルート証明書の場合、rootCA.pem の名前を rootCA.crt に変更します。* www.selfsignedcertificate.com で作成された証明書の場合、address.cert の名前を address.crt に変更します。それから、NAS にアクセスするデバイスに、名前を変更したファイルを転送し、開きます。

*この操作はオペレーティングシステムによっては不要です。 証明書のインポート方法はオペレーティングシステムによって異なる場合があります。

Windows に証明書をインポートするとき、証明書の情報が確認のために表示されます。 [Install Certificate (証明書のインストール)] をクリックし、PC に証明書を保存します。 証明書を保存する場所を問われたら、[Trusted Root Certificate Authorities (信頼できるルート証明書機関)] を選択します。 完了前、Windows は出所を確認することがあります。 自分で作成したため、[Yes (はい)] をクリックして問題ありません。 インストール後、ブラウザーはこの証明書の利用を開始するはずです。*

*Internet Explorer と Edge はこれらの証明書を既定で使用します。 その他のブラウザーでは、ルート証明書の保存に異なる方法が利用されることがあります。その場合、手動で構成する必要があります。

QNAP
QNAP NAS にアクセスする PC に rootCA.crt をインポートします。

ブラウザーを閉じ、再び開くと、変更が適用されます。 アドレスバーに https:// (お使いの NAS の IP アドレスまたはホスト名):(安全なポート) を入力し、NAS にログインします。 NAS が特定され、接続が安全であることを確認する証明書メッセージがブラウザーに表示されます。

QNAP
検証後、ブラウザーはあなたの Web サイトを正しく特定し、接続が安全であることを確認します。

6. Windows Server 証明書機関を使用し、NAS の証明書を発行し、管理する

Windows Server Active Directory で複数のデバイスを管理する場合、Windows Server でルート証明書を作成し、QNAP NAS の証明書要求に署名できます。 その場合、最初に Windows Server に Certificate Authority Management Tools をインストールしてください。 この例では、Windows Server 2012 を使用します。

QNAP
[Certificate Authority Management Tools] は [Add Roles and Features (ロールと機能の追加)] にあります。

Certificate Authority Management Tools をインストールすると、Server Manager の左メニューに新しい項目 (“AD CS”) が表示されます。 これは Active Directory Certificate Services という意味です。 AD CS では、ネットワークのルート証明書を構成する必要があります。 ウィザードに従い、Windows Server で新しいルート証明書を作成するか、既存のルート証明書を選択します。

QNAP
Server Manager で、サーバーの Active Directory Certificate Services を構成するように通知されます。
QNAP
ウィザードに従い、ルート証明書を構成します。 新しいルート証明書を作成するか、既存の秘密鍵を使用できます。 この例では、新しい秘密鍵を作成します。
QNAP
選択がすべて完了したら、設定を確認します。 使用要件に合わせてさまざまな選択が可能です。

構成が完了すると、証明書に署名する権限がサーバーに与えられます。 サーバーのルート証明書を使用して QNAP NAS にサインインするには、3.2 章の certificate .csr ファイルの作成方法を参照してください。 .csr ファイルが作成されると、Server Manager のツールメニューに [Certificate Authority] が表示されます。

QNAP
Certificate Authority 機能の場所。

Certificate Authority では、サーバーが署名し、発行した証明書を管理できます。 NAS の証明書に署名するには、サーバーを右クリックし、[All Tasks (すべてのタスク)] > [Submit new request (新しい要求の送信)] を選択し、QNAP NAS の IP アドレス/ホスト名を含む .csr ファイルを見つけます。* [Pending Requests (保留要求)] で、送信した要求を見つけ、右クリックし、証明書を発行します。

*OpenSSL コマンドラインインターフェイスを使用せずに QNAP NAS の .csr を作成する方法が他にもあります。たとえば、https://www.gogetssl.com/online-csr-generator/ を利用できます。

QNAP
NAS の新しい証明書要求を送信します。
QNAP
OpenSSL を利用し、NAS に作成した .csr ファイルを見つけます。
QNAP
証明書を発行します

証明書が発行されたら、[Issued Certificates (発行済み証明書)] でそれを選択し、ファイルに証明書をエクスポートし、そのコンテンツを秘密鍵と共に QNAP NAS にアップロードします (章 4.1 参照)。 エクスポート後、NAS では、Windows Server が発行した証明書が使用されます。

QNAP
[Issued Certificates (発行済み証明書)] を開き、発行済みの証明書が表示されている状態で [Copy to File (ファイルにコピー)] を選択します。
QNAP
Windows Server で Notepad でファイルを開けるように、[Base-64 encoded X.509 (.CER)] を選択します。
QNAP
章 4.1 に従い、証明書と鍵を NAS に入力すると、NAS では、Windows Server が発行した証明書が使用されます。
リリース日: 2016-05-10
役に立ちましたか ?
ご意見をいただき、ありがとうございます。
ご意見をいただき、ありがとうございます。 ご質問がありましたら、support@qnap.com にお問合せください
21% の人が、これは役に立つと思っています。