QNAP Systems, Inc. - 네트워크 부착형 스토리지(NAS)

Language

Support

SSL 인증서를 사용하여 QNAP NAS의 연결 보안을 개선

1. 과제 및 솔루션

인터넷을 탐색할 떄는 개인 정보가 노출될 위험이 있습니다. 여러분이 전송하고 수신하는 메시지가 안전하지 않고, 방문하는 페이지가 진짜가 아닐 수 있습니다. 이러한 위험은 여러분과 웹사이트, 여러분과 QNAP NAS 간 통신에 모두 발생합니다. NAS에서 인증서와 개인 키(TSL/SSL)를 사용하면 다음과 같은 장점이 있고, 여러분과 QNAP NAS 간 연결이 더욱 안전해집니다.

  1. 여러분과 회사의 QNAP NAS에 연결할 때 도청을 예방하십시오.
  2. 악용을 예방하고 올바른 QNAP NAS와 통신하고 있는지 확인하십시오.
  3. 이제 여러분과 다른 NAS 사용자는 연결/웹사이트가 안전하지 않다는 경고를 보지 않아도 됩니다.
QNAP
이 경고 메시지는 웹사이트에 적절한 SSL 인증서가 없을 때 표시됩니다.

이 애플리케이션 노트에서는 OpenSSL과 Windows Server를 사용하여 여러분이 사용할 루트 인증서와 QNAP NAS*용 인증서를 생성하는 방법을 설명합니다. 인증서, 개인 키, TSL/SSL의 작동 원리에 관한 자세한 정보는 소개하지 않습니다. myQNAPcloud SSL 인증서를 구매하는 방법에 관한 정보는 myQNAPcloud SSL 인증서 구매 및 사용 방법을 참조하십시오.

*안내하는 방법은 QNAP NAS에만 적용되며 공개 웹사이트에는 적합하지 않습니다.

2. 소개

2.1. SSL은 무엇인가?

TLS(Transport Layer Security)와 처리자, SSL(Secure Sockets Layer)은 암호 프로토콜로, 컴퓨터 네트워크에서 통신 보안을 제공하도록 설계되었습니다.

웹 브라우저에 이미 루트 인증 기관이 서명한 루트 인증서가 있을 수 있습니다. 루트 인증 기관이 승인하고 신뢰하는 웹사이트를 방문하면 브라우저가 이를 신뢰하는 사이트로 인식하고 여러분이 사용 가능한 안전한 연결을 설정합니다.

대부분 웹사이트는 공개 액세스를 위해 루트 인증 기관에 인정받기 전에 인증 절차를 거쳐야 합니다. 그러나 여러분의 NAS는 사용자만 액세스하므로 OpenSSL과 Windows Server를 사용하여 루트 인증 기관 역할을 할 수 있습니다. 이렇게 하면 아래와 같이 개인/회사 장치와 NAS 사이에 안전한 연결을 설정할 수 있습니다.

QNAP
이 문서는 OpenSSL(왼쪽)을 사용하여 자체 서명된 인증서를 만드는 방법을 보여줍니다.
마지막 장에서는 Window Server(오른쪽)로 루트 인증서를 만드는 방법을 보여줍니다.
QNAP 루트 인증 기관
QNAP 장치의 루트 인증서
QNAP NAS의 인증서

가정에서 사용할 경우, http://www.selfsignedcertificate.com/ 을 사용하여 OpenSSL 명령줄 없이도 자체 서명된 인증서를 신속하게 만들 수 있습니다(이 방법은 가정/개인 사용에만 권장합니다). 자세한 정보는 3.3장을 참조하십시오.

2.2. OpenSSL의 시스템 요구 사항

QNAP NAS 연결을 지키기 위한 인증서와 개인 키 파일을 만들기 위해서는 OpenSSL을 사용하거나 신뢰하는 인증 기관에서 인증서를 구매할 수 있습니다. Linux용 OpenSSL 패키지 다운로드: https://www.openssl.org/

Windows와 다른 운영 체제의 경우, OpenSSL 커뮤니티 회원이 개발한 다른 OpenSSL 버전을 찾을 수 있습니다. 이 예시에서는 Win32OpenSSL을 사용합니다. Win32OpenSSL은 https://www.openssl.org/community/binaries.html 에서 다운로드할 수 있습니다.

*Windows에서 OpenSSL을 사용하기 전에 Visual C++ 2008을 설치해야 합니다. Visual C++ 2008 다운로드:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. 인증서 만들기

3.1. OpenSSL을 사용하여 루트 인증서 만들기

Windows용 OpenSSL을 다운로드한 후 패키지의 압축을 해제하면 보이는 폴더:

QNAP
Win32OpenSSL의 내용. 이 예시에서 패키지는 C:\OpenSSL-Win32에 저장됩니다.

시작 버튼에서 마우스 오른쪽 버튼을 클릭하고 “Command Prompt (Admin)(명령 프롬프트(관리자))”를 엽니다. 다음 명령을 입력합니다.

CD C:\OpenSSL-Win32\bin

*압축을 해제한 패키지를 저장한 곳의 파일 경로를 수정해 주십시오.

QNAP
시작 버튼에서 마우스 오른쪽 버튼을 클릭해서 “Command Prompt (Admin)(명령 프롬프트(관리자))”를 엽니다.
QNAP
CD C:\OpenSSL-Win32\bin을 사용하여 bin 폴더로 들어갑니다.

시작하기 전에 OpenSSL 구성 파일을 찾아야 합니다. 구성 파일 경로를 수동으로 설정하려면 다음 명령을 입력하십시오.

Set openssl_CONF=openssl.cnf QNAP
openssl.cnf 파일 이름은 OpenSSL 버전에 따라 달라질 수 있습니다. 버전에 따라 명령을 변경해야 합니다.

개인 루트 키를 만들기 위한 명령줄을 입력한 후에 개인 키 만들기를 선택할 수 있습니다(최대 4,096자 이내). 이 예시에서는 개인 키를 2,048자로 설정했습니다. 개인 키는 모든 인증서 신뢰의 기초가 되므로 –des3 명령을 사용하여 이 키에 대한 비밀번호를 설정할 수 있게 허용해야 합니다. 개인 키와 비밀번호는 비밀로 해야 합니다. 비밀번호 없이 키를 만들려면 -des3 명령을 삭제하십시오.

openssl genrsa -des3 -out rootCA.key 2048 QNAP
비밀번호로 보호되는 루트 개인 키 만들기.

개인 키를 만든 후에는 다음 명령을 사용하여 해당 키와 쌍이 되는 자체 서명된 인증서를 만들고 구성합니다. -days를 변경하면 인증서의 만료일을 결정할 수 있습니다(이 예시에서는 730일로 설정). 이 명령을 입력한 후에는 키 비밀번호와 인증서에 저장될 모든 추가 정보를 입력해야 합니다. Common Name(공통 이름) 섹션에는 루트 인증서의 이름을 입력해 주십시오.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
생성한 개인 키와 쌍이 되는 인증서 만들기.

rootCA.key라는 이름의 개인 키와 rootCA.pem 라는 이름의 SSL 인증서가 bin 폴더에 저장됩니다. 이 인증서는 자체 서명되어 있고, 730일간 유효하며, 각 NAS에 다른 인증서를 만들 때 이 인증서가 QNAP NAS용 루트 인증서 역할을 합니다.

QNAP
새로 생성된 개인 키와 SSL 인증서.

3.2. OpenSSL을 사용하여 NAS용 인증서 만들기

루트 인증서를 만든 후 다음 명령을 사용하여 한 쌍이 되는 QNAP NAS용 개인 키와 인증서를 하나 더 만듭니다. 이는 루트 개인 키와 인증서를 만드는 것과 동일합니다. 키의 문자를 사용자 지정할 수 있지만, 비밀번호는 필요 없습니다. QNAP NAS용 인증서를 만들 때는 Common Name(공통 이름)이 QNAP NAS의 IP 주소 또는 호스트 이름*이어야 합니다.

*일부 브라우저는 IP 주소를 위험하다고 자동 간주하고 경고 메시지를 표시합니다.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
QNAP NAS용 개인 키와 인증서 만들기. QNAP NAS에 연결하는 데 사용할 IP 주소/호스트 이름(example.myqnapcloud.com)을 입력하십시오.

두 개의 파일이 device.key와 device.csr이라는 bin 폴더에 저장됩니다. 루트 인증서의 개인 키로 생성된 인증서에 서명하려면 아래 명령을 입력해야 합니다. 다음과 같이 인증서 만료일을 결정할 수 있습니다(예시에서는 730일로 설정).

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
device.csr 서명. rootCA 키 비밀번호를 만들었다면 비밀번호를 입력해야 합니다.

3.3. www.selfsignedcertificate.com을 사용하여 NAS용 인증서 만들기

인터넷에서 자체 서명된 인증서를 만들 수 있습니다. *http://www.selfsignedcertificate.com/을 사용하여 QNAP NAS의 IP 주소/호스트 이름을 입력하고 "Generate(생성)"를 클릭합니다. 입력된 주소가 NAS를 방문할 때 사용한 주소와 같은지 확인하십시오.

*일부 브라우저는 IP 주소를 위험하다고 자동 간주하고 경고 메시지를 표시합니다.

QNAP
QNAP NAS의 IP 주소/호스트 이름 입력합니다.
QNAP
.key와 .cert 파일을 다운로드합니다.

4. 안전한 연결 설정

4.1. 안전한 연결을 활성화하기 위한 QNAP NAS 구성

위 작업을 수행하면 device.key를 사용하여 device.crt라는 새로운 파일이 만들어집니다. www.selfsignedcertificate.com 에서 address.cert와 address.key를 다운로드할 수 있습니다. 이제 .crt (또는 .cert)와 .key 파일의 내용물을 QNAP NAS에 업로드해야 합니다. 메모장(또는 다른 텍스트 편집기)*로 파일을 열고 NAS에 로그인한 다음, “Control Panel(제어판)” > “Security(보안)” > “Certificate & Private Key(인증서 & 개인 키)”로 이동해서 키와 인증서 파일의 내용물 전체를 각 필드에 복사하고 “Apply(적용)”를 클릭합니다.

*파일을 열 때 Microsoft Word를 사용하지 마십시오. 텍스트 편집기에서 Word Wrap을 사용하지 마십시오.

QNAP
이 파일들은 위 작업을 수행한 후에 생성되거나 다운로드됩니다. 이 파일들을 메모장 또는 다른 텍스트 편집기를 사용하여 엽니다.
QNAP
키와 인증서 파일의 내용물을 복사하여 Control Panel(제어판)의 “Certificate and Private Key(인증서 및 개인 키)”에 붙여넣습니다.
QNAP
Apply(적용)을 클릭하여 붙여넣은 키와 인증서 데이터를 업로드합니다.
QNAP
“Certificate & Private Key(인증서 & 개인 키)” 상태는 기본 설정 사용에서 “Uploaded secure certificate being used(업로드된 보안 인증서 사용 중)”로 변경됩니다.

"Control Panel(제어판)" > "Applications(애플리케이션)" > "Web Server(웹 서버)"로 이동하고 “Enable secure connection (HTTPS)(안전 연결 활성화(HTTPS))”에 표시합니다.

QNAP
인증서를 적용한 다음 웹 서버용 안전 연결 활성화

5. 보안 연결 사용

5.1. 장치에 루트 인증서를 저장하고 NAS에 안전하게 연결하기

OpenSSL를 사용하여 만든 루트 인증서의 경우, rootCA.pem의 이름을 rootCA.crt*로 변경합니다. www.selfsignedcertificate.com 에서 만든 인증서의 경우, address.cert의 이름을 address.crt로 변경합니다. 이름을 변경한 파일을 NAS에 액세스할 장치에 전송하고 엽니다.

*일부 운영 체제에서는 이 작업이 필요하지 않을 수 있습니다. 운영 체제에 따라 인증서 가져오기에 다른 방법을 사용할 수 있습니다.

Windows에 인증서를 가져올 경우, 확인을 위해 인증서 정보가 표시됩니다. “Install Certificate(인증서 설치)”를 클릭하여 PC에 인증서를 저장합니다. 이 인증서를 저장할 장소를 물으면 Trusted Root Certificate Authorities(신뢰하는 루트 인증 기관)를 선택합니다. 작업을 완료하기 전에 Windows에서 출처 확인을 요청할 수 있습니다. 이 인증서는 여러분이 만들었으므로 “Yes(예)”를 클릭할 수 있습니다. 설치 후에는 이 인증서를 사용하여 브라우저가 시작됩니다*.

*Internet Explorer와 Edge는 기본적으로 이 인증서를 사용합니다. 브라우저에 따라 루트 인증서를 저장하는 방식이 달라질 수 있으며, 이를 수동으로 구성해야 합니다.

QNAP
rootCA.crt를 QNAP NAS에 액세스할 PC로 가져오기.

변경 사항이 적용되려면 브라우저를 닫았다가 다시 여십시오. 주소 표시줄에 https:// (NAS의 IP 주소 또는 호스트 이름):(안전한 포트)를 입력하여 NAS에 로그인합니다. 브라우저에 NAS가 확인되었고 연결이 안전하다는 인증서 메시지가 보일 것입니다.

QNAP
검증이 끝나면 브라우저가 웹사이트를 올바르게 식별하고 연결이 안전하다고 확인합니다.

6. Windows Server 인증 기관을 사용하여 NAS 인증서 발급 및 관리.

Windows Server Active Directory를 사용하여 여러 장치를 관리할 경우, Windows Server를 사용하여 루트 인증서를 만들고 QNAP NAS의 인증 요청에 서명할 수 있습니다. 이를 위해서는 먼저 Windows Server에 Certificate Authority Management Tools(인증 기관 관리 도구)을 설치하십시오. 이 예시에서는 Windows Server 2012를 사용합니다.

QNAP
“Add Roles and Features(역할 및 기능 추가)"에서 “Certificate Authority Management Tools(인증 기관 관리 도구)”을 찾을 수 있습니다.

Certificate Authority Management Tools(인증 기관 관리 도구)을 설치한 뒤에 서버 관리자의 왼쪽 메뉴에서 새로운 항목(“AD CS”)을 찾을 수 있습니다. 즉, Active Directory 인증서 서비스를 뜻합니다. AD CS에서 네트워크용 루트 인증서를 구성해야 합니다. 마법사를 따라 Windows Server로 새로운 루트 인증서를 만들거나 기존 루트 인증서를 선택할 수 있습니다.

QNAP
서버 관리자에서 서버의 Active Directory 인증서 서비스를 구성하라고 알려줄 것입니다.
QNAP
마법사를 따라 루트 인증서를 구성합니다. 새로운 루트 인증서를 만들거나 기존 개인 키를 사용할 수 있습니다. 이 예시에서는 새로운 개인 키를 만듭니다.
QNAP
모든 옵션이 완료된 후 설정을 확인합니다. 사용 요구 사항이 달라지면 다른 옵션을 선택할 수 있습니다.

구성이 완료된 후에는 서버에 인증서 서명 권한이 부여됩니다. 서버의 루트 인증서를 사용하여 QNAP NAS에 서명하려면 인증서 .csr 파일을 만들기 위한 3.2장을 참조하십시오. .csr 파일이 생성되면 서버 관리자의 Tools(도구) 메뉴에서 “Certificate Authority(인증 기관)”를 찾습니다.

QNAP
인증 기관 기능의 위치.

Certificate Authority(인증 기관)에서 서버에서 서명하고 발급한 인증서를 관리할 수 있습니다. NAS용 인증서에 서명하려면 서버를 마우스 오른쪽 버튼으로 클릭하고 “All Tasks(모든 작업)” > “Submit new request(새 요청 제출)”를 선택합니다. 그다음 QNAP NAS의 IP 주소/호스트 이름이 포함된 .csr 파일을 찾습니다*. “Pending Requests(보류 중인 요청)”에서 제출한 요청을 찾아서 마우스 오른쪽 버튼으로 클릭하고 인증서를 발급합니다.

*OpenSSL 명령줄 인터페이스를 사용하지 않고 QNAP NAS용 .csr을 만드는 다른 방법이 있습니다. 예: https://www.gogetssl.com/online-csr-generator/

QNAP
NAS에 새로운 인증 요청을 제출합니다.
QNAP
OpenSSL를 사용하여 NAS에 대해 생성된 .csr 파일을 찾습니다.
QNAP
인증서 발급

인증서가 발급되면 “Issued Certificates(발급된 인증서)”에서 해당 인증서를 선택합니다. 인증서를 파일에 내보내서 개인 키와 함께 QNAP NAS에 인증서 내용을 업로드합니다(4.1장 참조). 이제 NAS에서 Windows Serve가 발급한 인증서를 사용합니다.

QNAP
Issued Certificates(발급된 인증서)를 열고 발급된 인증서를 볼 때 “Copy to File(파일에 복사)”을 선택합니다.
QNAP
Windows Server에서 메모장으로 파일을 열 수 있도록 "Base-64 encoded X.509 (.CER)"를 선택합니다.
QNAP
4.1장을 따라 인증서와 키를 NAS에 입력하면 NAS에서 Windows Server가 발급한 인증서를 사용합니다.
릴리스 날짜: 2016-05-10
도움이 되었습니까?
피드백을 주셔서 감사드립니다.
피드백을 주셔서 감사드립니다. 다른 질문 사항이 있으면 support@qnap.com으로 문의해 주시기 바랍니다.
17% 의 사용자들이 도움이 된다고 생각할 것입니다.