QNAP Systems, Inc. - netwerk opslag (NAS)

Language

Support

Het gebruik van SSL-certificaten om de beveiliging van verbindingen te verhogen op uw QNAP NAS

1. Uitdagingen en oplossingen

Tijdens het surfen op het internet loopt u het risico persoonlijke informatie bloot te stellen. Berichten die u verzendt en ontvangt zijn mogelijk niet beveiligd, en de website die u bezoekt is misschien niet authentiek. Dit risico kan zowel van toepassing zijn op de communicatie tussen u en een website en tussen u en uw QNAP NAS. Door het gebruik van een certificaat en privésleutel (TSL/SSL) voor uw NAS kunt u de volgende voordelen behalen en de verbinding tussen u en uw QNAP NAS veiliger maken:

  1. Voorkom afluisteren bij het verbinding maken met uw QNAP NAS of die van uw bedrijf.
  2. Voorkom geknoei en zorg ervoor dat u in contact staat met de correcte QNAP NAS.
  3. U en andere NAS-gebruikers zullen geen waarschuwing meer zien dat de verbinding / website onveilig is.
QNAP
Deze waarschuwing wordt weergegeven wanneer een website geen correct SSL-certificaat heeft.

In deze 'application note' zullen we ons richten op hoe u een eigen root-certificaat kunt creëren en een certificaat voor de QNAP NAS* met behulp van OpenSSL en Windows Server. Gedetailleerde informatie over hoe certificaten, privésleutels en TLS / SSL werken zal hier niet verstrekt worden. Voor meer informatie over hoe u myQNAPcloud SSL-certificaten kunt aanschaffen, zie Hoe koop en gebruik ik myQNAPcloud SSL-certificaten?

*De voorgestelde werkwijzen gelden alleen voor QNAP NAS, en zijn niet geschikt voor openbare websites.

2. Inleiding

2.1. Wat is SSL?

Transport Layer Security (TLS) en zijn voorganger, Secure Sockets Layer (SSL), zijn cryptografische protocollen ontworpen voor het aanbieden van communicatie-beveiliging over een computernetwerk.

Op uw webbrowsers kunnen reeds een aantal root-certificaten staan die door 'Root Certificate Authorities' ondertekend zijn. Dus als u een website bezoekt die is goedgekeurd en vertrouwd door één van de 'Root Certificate Authorities', zal uw browser die site erkennen als vertrouwd en zorgen voor een beveiligde verbinding.

De meeste websites moeten het certificaat-proces doorlopen alvorens ze door een 'Root Certificate Authority' kunnen worden erkend voor openbare toegang. Maar als uw NAS alleen benaderd zal worden door de eigen gebruikers, is het mogelijk op te treden als een 'Root Certificate Authority' met behulp van OpenSSL en Windows Server. Hiermee kunt u een beveiligde verbinding opzetten tussen uw PC en de NAS, zoals hieronder weergegeven:

QNAP
Dit artikel zal laten zien hoe u 'self-signed' certificaat kunt creëren met behulp van OpenSSL (links).
Het laatste hoofdstuk zal laten zien hoe u een root-certificaat met Windows Server (rechts) kunt creëren.
QNAP Root Certificate Authority
QNAP Root-certificaat op het apparaat
QNAP Certificaat op een NAS

Voor thuisgebruik kunt u ook gebruikmaken van http://www.selfsignedcertificate.com/ om snel een ‘self-signed’ (zelf-ondertekend) certificaat te creëren zonder de OpenSSL-opdrachtregel (deze methode wordt alleen aangeraden voor thuis / privé-gebruik). Raadpleeg hoofdstuk 3.3 voor meer informatie.

2.2. Systeemvereisten voor OpenSSL

Om een certificaat en privésleutel te creëren voor het beveiligen van de verbinding met uw QNAP NAS, kunt u OpenSSL gebruiken of een certificaat aanschaffen van een vertrouwde Certificate Authority. Het OpenSSL-pakket kan gedownload worden voor Linux vanaf: https://www.openssl.org/

Voor Windows en andere besturingssystemen kunt u andere versies van OpenSSL vinden, ontwikkeld door OpenSSL-leden van de gemeenschap. In dit voorbeeld gebruiken we Win32OpenSSL. Dit kan gedownload worden vanaf https://www.openssl.org/community/binaries.html

*Visual C++ 2008 moet geïnstalleerd worden alvorens van OpenSSL in Windows gebruik gemaakt kan worden. Dit kan gedownload vanaf:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Een certificaat creëren.

3.1. Gebruikmaken van OpenSSL voor het creëren van het basiscertificaat

Na het downloaden van OpenSSL voor Windows, pakt u het pakket uit, en zult u de volgende mappen zien::

QNAP
De inhoud van Win32OpenSSL. In dit voorbeeld is het pakket opgeslagen in C:\OpenSSL-Win32

Klik met de rechtermuisknop op de Start-knop en open de “Command Prompt (Admin)” (Opdrachtregel (Admin)). Voer dan de volgende opdracht in:

CD C:\OpenSSL-Win32\bin

*Pas het pad aan voor waar u het uitgepakte pakket opgeslagen heeft.

QNAP
Open "Command Prompt (Admin)" (Opdrachtregel (Admin)) door rechts te klikken op de knop Start.
QNAP
Gebruik CD C:\OpenSSL-Win32\bin om naar de bin-map te gaan

Voordat u begint, moet u het OpenSSL-configuratiebestand identificeren. Om het pad van het configuratiebestand handmatig in te stellen, voert u de volgende opdracht uit:

Set openssl_CONF=openssl.cnf QNAP
De openssl.cnf bestandsnaam kan verschillen, afhankelijk van uw OpenSSL-versie U moet de opdracht dienovereenkomstig veranderen.

Na het gebruik van de opdrachtregel om de root-privésleutel te creëren, kunt u ervoor kiezen de sleutel te creëren (met maximaal 4096 tekens). In dit voorbeeld stellen we de sleutel in met 2048 tekens. Deze privésleutel zal de basis zijn van alle vertrouwen in uw certificaat, dus het commando -des3 moet worden gebruikt om ons in staat stellen een wachtwoord in te stellen voor deze sleutel. Deze sleutel en het wachtwoord moeten geheim gehouden worden. Voor het creëren van een sleutel zonder wachtwoord kunt u de opdracht -des3 verwijderen:

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Een met een wachtwoord beveiligd root-privésleutel aanmaken.

Gebruik de volgende opdracht voor het creëren en configureren van een zelf-ondertekend certificaat dat aan de sleutel gekoppeld is, nadat de privésleutel gecreëerd is. Door het veranderen van de -days, kunt u beslissen over de vervaldatum van het certificaat (we gebruiken 730 dagen als voorbeeld). Na het invoeren van deze opdracht, moet u het wachtwoord opgeven en eventuele aanvullende informatie die in het certificaat opgeslagen zal worden. Vul de naam in van dit root-certificaat in het onderdeel "Common Name" (Algemene naam).

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
Het creëren van een certificaat dat gekoppeld is aan de privésleutel die u gemaakt heeft.

Een privésleutel genaamd rootCA.key en een SSL-certificaat genaamd rootCA.pem zullen nu opgeslagen worden in de bin-map. Het ‘self-signed’ certificaat is 730 dagen geldig, en zal fungeren als het root-certificaat voor een QNAP NAS wanneer u verschillende certificaten aanmaakt voor elke NAS.

QNAP
De nieuw aangemaakte privésleutel en het SSL-certificaat.

3.2. Gebruikmaken van OpenSSL om een certificaat voor uw NAS te creëren

Na het aanmaken van het root-certificaat, gebruikt u de volgende opdracht om een ander paar privésleutel en certificaat voor uw QNAP NAS te maken. Dit is hetzelfde als het maken van een root-privésleutel en certificaat. U kunt de tekens van de sleutel aanpassen, maar geen wachtwoord is vereist. Bij het maken van een certificaat voor een QNAP NAS, moet de 'Common Name' het IP-adres of de hostnaam* van de QNAP NAS zijn.

*Sommige browsers kunnen een IP-adres automatisch als onveilig achten, en zullen nog steeds een waarschuwing geven.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Het creëren van een privésleutel en certificaat voor uw QNAP NAS. Zorg ervoor dat u het IP-adres/hostnaam invoert (bijvoorbeeld.myqnapcloud.com) dat u gaat gebruiken om verbinding te maken met de QNAP NAS.

Twee bestanden zullen opgeslagen worden in de bin-map, genaamd device.key en device.csr. U moet de volgende opdracht invoeren om het gecreëerde certificaat met de privésleutel van het root-certificaat te ondertekenen. U kunt zelf beslissen over de vervaldatum van het certificaat (we gebruiken 730 dagen als voorbeeld):

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Ondertekening van device.csr. Als u een wachtwoord voor root CA.key gemaakt heeft, moet u het invoeren.

3.3. Met behulp van www.selfsignedcertificate.com een certificaat voor uw NAS creëren

Het is mogelijk een zelf-ondertekend certificaat aan te maken op internet. *Voer op http://www.selfsignedcertificate.com/, het IP-adres/hostnaam in van uw QNAP NAS en klik op "Generate" (Genereren). Zorg ervoor dat het ingevoerde adres hetzelfde is als het adres dat u gebruikt om uw NAS te bezoeken.

*Sommige browsers kunnen een IP-adres automatisch als onveilig achten, en zullen nog steeds een waarschuwing geven.

QNAP
Voer het IP-adres/hostnaam van uw QNAP NAS in
QNAP
Download het .key en .cert bestand.

4. Het opzetten van een beveiligde verbinding

4.1. De QNAP NAS configureren om een beveiligde verbinding mogelijk te maken

De bovenstaande acties zullen een nieuw bestand creëren met de naam device.crt gebruikmakend van de device.key, en u kunt address.cert en address.key downloaden vanaf www.selfsignedcertificate.com. Nu moet u de inhoud van de .crt (of .cer) en .key bestanden naar een QNAP NAS uploaden. Open deze bestanden met Notepad/Kladblok (of een andere tekst-editor)*, log in op uw NAS, ga naar “Control Panel” (Configuratiescherm) > “Security” (Beveiliging) >“Certificate & Private Key” (Certificaat en privésleutel), kopieer de hele inhoud van de sleutel en de certificaat-bestanden naar hun respectievelijke velden, en klik op “Apply” (Toepassen).

*Gebruik niet Microsoft Word om het bestand te openen. Gebruik geen tekstterugloop in uw tekstverwerker.

QNAP
Deze bestanden worden aangemaakt of gedownload na het bovenstaande proces. Open ze met Notepad/Kladblok of een andere tekst-editor.
QNAP
Kopieer de inhoud van de sleutel en de certificaat-bestanden en plak ze in "Certificate and Private Key" (Certificaat en privésleutel) in het Configuratiescherm.
QNAP
Klik op "Apply" (Toepassen) om de geplakte sleutel en de certificaat-data te uploaden.
QNAP
De status “Certificate & Private Key” (Certificaat en privésleutel) zal veranderen van standaardinstelling naar “Uploaded secure certificate being used” (Geüpload beveiligd certificaat in gebruik).

Ga naar "Control Panel" (Configuratiescherm) > "Applications" (Toepassingen) > "Web Server" en vink aan “Enable secure connection (HTTPS)” (Beveiligde verbinding, HTTPS, inschakelen).

QNAP
Schakel een beveiligde verbinding in op de webserver na het aanbrengen van het certificaat

5. Gebruik van beveiligde verbindingen

5.1. Bewaar het root-certificaat in uw apparaten en maak een veilige verbinding maken met uw NAS

Voor root-certificaten gemaakt met behulp van OpenSSL, moet de naam van rootCA.pem veranderd worden in rootCA.crt*. Voor certificaten gemaakt via www.selfsignedcertificate.com, moet de naam van address.cert veranderd worden in address.crt. Breng vervolgens het hernoemde bestand over naar het apparaat dat verbinding met de NAS zal maken, en open het bestand.

*Dit hoeft niet vereist te zijn voor sommige besturingssystemen. Verschillende besturingssystemen kunnen andere methoden gebruiken om certificaten te importeren.

Bij het importeren van het certificaat in Windows, wordt informatie van het certificaat weergegeven ter bevestiging. Klik op “Install Certificate” (Certificaat installeren) om het op uw PC te installeren. Wanneer u gevraagd wordt waar dit certificaat opgeslagen moet worden, kiest u 'Trusted Root Certificate Authorities'. Alvorens af te ronden, kan Windows u vragen de oorsprong ervan te bevestigen. Omdat het door uzelf gecreëerd is, klikt u op "Yes" (Ja). Na de installatie moeten uw browsers dit certificaat gaan gebruiken*.

*Internet Explorer en Edge zullen standaard gebruikmaken van deze certificaten. Andere browsers kunnen gebruikmaken van verschillende methoden voor het opslaan van root-certificaten, en u moet ze handmatig configureren.

QNAP
Importeer de rootCA.crt naar uw PC's die verbinding gaan maken met de QNAP NAS.

Sluit en heropen uw browsers om de veranderingen door te voeren. Voer in de adresbalk https://(Het IP-adres of de hostnaam van uw NAS):(uw beveiligde poort) in om in te loggen op de NAS. U zult het certificaat-bericht zien in de browser, bevestigend dat uw NAS geïdentificeerd is en dat de verbinding beveiligd is.

QNAP
Eenmaal geverifieerd, zal uw browser uw website correct identificeren en bevestigen dat de verbinding beveiligd is.

6. Gebruik Windows Server Certificate Authority voor de uitgifte en het beheer van het NAS-certificaat.

Als u meerdere apparaten beheert met Windows Server Active Directory, dan kunt u een root-certificaat creëren met behulp van Windows Server en het certificaat-verzoek van uw QNAP NAS ondertekenen. Om dit te doen, installeer dan eerst de Certificate Authority Management Tools in Windows Server. In dit voorbeeld gebruiken we Windows Server 2012.

QNAP
U kunt de “Certificate Authority Management Tools” vinden in “Add Roles and Features" (Rollen en functies toevoegen)

Na het installeren van de 'Certificate Authority Management Tools' zult u een nieuw item (“AD CS”) aantreffen in het linkermenu van de Server Manager. Dit betekent Active Directory Certificate Services. In AD CS moet u een root-certificaat voor uw netwerk configureren. U kunt de wizard volgen om een nieuw root-certificaat te creëren met behulp van Windows Server of een bestaand root-certificaat selecteren.

QNAP
De Server Manager zal u vragen uw server Active Directory Certificate Services te configureren.
QNAP
Volg de wizard om een root-certificaat te configureren. U kunt een nieuw root-certificaat creëren of een bestaande privésleutel gebruiken. In dit voorbeeld creëren we een nieuwe privésleutel.
QNAP
Bevestig uw instellingen nadat alle opties voltooid zijn. Verschillende opties kunnen worden geselecteerd voor verschillende gebruiksvereisten.

Nadat de configuratie voltooid is, heeft uw server de bevoegdheid een certificaat te ondertekenen. Om het root-certificaat van de server te gebruiken om uw QNAP NAS te ondertekenen, wordt u verwezen naar hoofdstuk 3.2 voor het creëren van een certificaat .CSR-bestand. Zodra het .CSR-bestand gecreëerd is, gaat u naar "Certificate Authority" in het Tools-menu van de Server Manager.

QNAP
De locatie van de functie 'Certificate Authority'.

In 'Certificate Authority' kunt u de certificaten beheren die door uw server zijn ondertekend en uitgegeven. Om het certificaat voor de NAS te ondertekenen, klikt u met de rechtermuisknop op uw server, selecteer “All Tasks” (Alle taken) > “Submit new request” (Nieuw verzoek indienen) en ga naar het .csr-bestand dat het IP-adres/Hostnaam van uw QNAP NAS bevat*. In “Pending Requests” (In behandeling zijnde verzoeken), treft u het verzoek aan dat u zojuist verzonden heeft en klik er met de rechtermuisknop op om het certificaat uit te geven.

*Er zijn nog andere methoden om een .CSR-bestand te creëren voor uw QNAP NAS zonder gebruik te maken van de OpenSSL-opdrachtregelinterface, waaronder deze website: https://www.gogetssl.com/online-csr-generator/

QNAP
Dien een nieuw certificaat-verzoek in voor uw NAS.
QNAP
Ga met behulp van OpenSSL naar het .CSR-bestand dat u gemaakt heeft voor uw NAS.
QNAP
Geef het certificaat af.

Zodra het certificaat afgegeven is, selecteer het dan in “Issued Certificates” (Uitgegeven certificaten) en exporteer het certificaat naar een bestand om de inhoud ervan naar uw QNAP NAS te uploaden, samen met de privésleutel (zie hoofdstuk 4.1). Uw NAS zal dan gebruikmaken van het certificaat dat door uw Windows Server uitgegeven is.

QNAP
Open "Issued Certificates" (Uitgegeven certificaten) en selecteer “Copy to File” (Naar bestand kopiëren) bij het bekijken van uw uitgegeven certificaat.
QNAP
Selecteer "Base-64 encoded X.509 (.CER)", zodat u het bestand met Kladblok in Windows Server kunt openen.
QNAP
Na het volgen van hoofdstuk 4.1, voor het invoeren van het certificaat en de sleutel in uw NAS, zal uw NAS gebruikmaken van het certificaat uitgegeven door uw Windows Server.
Uitgavedatum: 2016-05-10
Was dit nuttig?
Bedankt voor uw feedback.
Bedankt voor uw feedback. Neem contact op met support@qnap.com als u vragen hebt.
17% van de mensen vond dit nuttig