Serwery NAS firmy QNAP - oficjalna strona w Polsce (NAS)

Language

Support

Używanie certyfikatów SSL w celu podniesienia bezpieczeństwa połączeń z serwerem QNAP NAS

1. Problemy i rozwiązania

Podczas przeglądania Internetu występuje ryzyko ujawnienia prywatnych danych. Wysyłane i otrzymywane wiadomości mogą nie być bezpieczne, a odwiedzane witryny mogą nie być autentyczne. To ryzyko ma zastosowanie zarówno do komunikacji między użytkownikiem a witryną, jak i użytkownikiem a serwerem QNAP NAS. Używanie certyfikatu i klucza prywatnego (TSL/SSL) do serwera NAS zapewnia wymienione poniżej korzyści i sprawia, że połączenie między użytkownikiem a serwerem QNAP NAS jest bezpieczniejsze:

  1. Zapobieganie nasłuchiwaniu podczas łączenia z prywatnym/firmowym serwerem QNAP NAS.
  2. Zapobieganie modyfikacjom i pewność, że interakcje prowadzone są z odpowiednim serwerem QNAP NAS.
  3. Ty i inni użytkownicy NAS nie będziecie widzieć ostrzeżenia przed tym, że połączenie lub witryna nie są bezpiecznie.
QNAP
Ten komunikat ostrzegawczy jest wyświetlany, gdy witryna nie ma prawidłowego certyfikatu SSL.

W tych uwagach do aplikacji pokażemy, jak utworzyć certyfikat główny na własne potrzeby i certyfikat dla serwera QNAP NAS* przy użyciu OpenSSL i systemu Windows Server. Nie przedstawiono tu szczegółowych informacji o sposobach działania certyfikatów, kluczy prywatnych i szyfrowania TSL/SSL. Aby uzyskać więcej informacji o zakupie certyfikatów SSL myQNAPcloud, zobacz Jak kupić certyfikaty SSL myQNAPcloud i ich używać?

*Przedstawione metody dotyczą tylko serwerów QNAP NAS i nie są odpowiednie do witryn publicznych.

2. Wprowadzenie

2.1. Co to jest SSL?

Transport Layer Security (TLS) i jego poprzednik Secure Sockets Layer (SSL) to protokoły kryptograficzne stworzone w celu zapewnienia bezpiecznej komunikacji w sieci komputerowej.

W Twojej przeglądarce mogą być już zainstalowane certyfikaty główne podpisane przez główne Urzędy certyfikacji. Jeśli więc odwiedzisz witrynę zatwierdzoną i darzoną zaufaniem przez jeden z głównych Urzędów certyfikacji, Twoja przeglądarka rozpozna tę witrynę jako zaufaną i ustanowi bezpieczne połączenie, z którego będzie można korzystać.

Większość witryn musi przejść proces certyfikacji, zanim zostaną zatwierdzone do publicznego użytku przez główny Urząd certyfikacji. Niemniej, dostęp do Twojego serwera NAS mają tylko jego użytkownicy, więc można przyjąć rolę głównego Urzędu certyfikacji, korzystając z OpenSSL i systemu Windows Server. Umożliwi to nawiązywanie bezpiecznych połączeń między osobistym lub firmowym urządzeniem a serwerem NAS, jak pokazano poniżej:

QNAP
W tym artykule pokazano, jak utworzyć certyfikat z podpisem własnym przy użyciu OpenSSL (po lewej).
W ostatnim rozdziale zamieszczono informacje o tworzeniu certyfikatu głównego przy użyciu systemu Windows Server (po prawej).
QNAP Główny urząd certyfikacji
QNAP Certyfikat główny w urządzeniu
QNAP Certyfikat na serwerze NAS

W przypadku użytku domowego przyda się też witryna http://www.selfsignedcertificate.com/. Pozwala na szybkie utworzenie certyfikatu z podpisem własnym bez korzystania z wiersza poleceń OpenSSL (ta metoda jest zalecana w przypadku zastosowań domowych/prywatnych). Więcej informacji można znaleźć w rozdziale 3.3.

2.2. Wymagania systemowe związane z biblioteką OpenSSL

Aby utworzyć plik klucza prywatnego i certyfikatu w celu zabezpieczenia połączenia z serwerem QNAP NAS, można użyć protokołu OpenSSL albo kupić certyfikat od zaufanego Urzędu certyfikacji. Pakiet OpenSSL dla systemu Linux można pobrać ze strony: https://www.openssl.org/

Do systemu Windows i innych systemów operacyjnych można znaleźć inne wersje OpenSSL opracowane przez członków społeczności OpenSSL. W tym przykładzie użyto Win32OpenSSL. Można go pobrać ze strony https://www.openssl.org/community/binaries.html

*Przed użyciem OpenSSL w systemie Windows należy zainstalować oprogramowanie Visual C++ 2008. Można je pobrać ze strony:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Tworzenie certyfikatu

3.1. Tworzenie certyfikatu głównego przy użyciu OpenSSL

Po pobraniu OpenSSL do systemu Windows należy wyodrębnić pliki. Pakiet zawiera następujące foldery:

QNAP
Zawartość pakietu Win32OpenSSL. W tym przykładzie pakiet zapisano w folderze C:\OpenSSL-Win32.

Prawym przyciskiem myszy kliknij przycisk Start i otwórz Wiersz polecenia (administrator). Następnie wprowadź następujące polecenie:

CD C:\OpenSSL-Win32\bin

*Dostosuj ścieżkę prowadzącą do zapisanego i rozpakowanego pakietu.

QNAP
Otwórz okno Wiersz polecenia (administrator), klikając przycisk Start prawym przyciskiem myszy.
QNAP
Użyj polecenia CD C:\OpenSSL-Win32\bin, aby przejść do folderu bin.

Przed rozpoczęciem konieczne może być zidentyfikowanie pliku konfiguracji OpenSSL. Aby ręcznie wprowadzić ścieżkę do pliku konfiguracji, wpisz następujące polecenie:

Set openssl_CONF=openssl.cnf QNAP
Nazwa pliku openssl.cnf może być inna w zależności od wersji biblioteki OpenSSL. W takim przypadku należy odpowiednio zmienić polecenie.

Po użyciu wiersza polecenia do utworzenia głównego klucza prywatnego możesz utworzyć klucz (składający się z maksymalnie 4096 znaków). W tym przykładzie ustawiono klucz składający się z 2048 znaków. Ten klucz prywatny będzie podstawą zaufania do Twojego certyfikatu, w związku z tym należy użyć polecenia –des3, aby ustawić hasło do tego klucza. Klucza i hasła nie wolno ujawniać. Aby utworzyć klucz bez hasła, możesz usunąć polecenie -des3:

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Tworzenie chronionego hasłem głównego klucza prywatnego.

Po utworzeniu klucza prywatnego użyj poniższego polecenia, aby utworzyć i skonfigurować sparowany z kluczem certyfikat z podpisem własnym. Zmieniając parametr -days, możesz określić datę wygaśnięcia ważności certyfikatu (w przykładzie wprowadzono 730 dni). Po wprowadzeniu tego polecenia musisz wpisać hasło do klucza i wszelkie dodatkowe informacje, które będą przechowywane w certyfikacie. W sekcji Nazwa pospolita wprowadź nazwę tego certyfikatu głównego.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
Tworzenie certyfikatu sparowanego z utworzonym przez Ciebie kluczem prywatnym.

Klucz prywatny o nazwie rootCA.key i certyfikat SSL o nazwie rootCA.pem zostaną teraz zapisane w folderze bin. Certyfikat ma podpis własny, jest ważny przez 730 dni i będzie pełnił rolę certyfikatu głównego serwera QNAP NAS, jeśli utworzysz inne certyfikaty dla każdego serwera NAS.

QNAP
Nowo utworzony klucz prywatny i certyfikat SSL.

3.2. Tworzenie certyfikatu na potrzeby serwera NAS przy użyciu biblioteki OpenSSL

Po utworzeniu certyfikatu głównego użyj poniższego polecenia, aby utworzyć inną parę klucza prywatnego i certyfikatu dla serwera QNAP NAS. Proces jest taki sam jak w przypadku tworzenia głównego klucza prywatnego i certyfikatu. Można dostosować liczbę znaków w kluczu, ale hasło nie jest wymagane. Podczas tworzenia certyfikatu serwera QNAP NAS Nazwa pospolita musi być adresem IP lub nazwą hosta* serwera QNAP NAS.

*Niektóre przeglądarki mogą automatycznie traktować adres IP jako niebezpieczny i nadal będą wyświetlać komunikat ostrzegawczy.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Tworzenie klucza prywatnego i certyfikatu na potrzeby serwera QNAP NAS. Upewnij się, czy wprowadzono adres IP lub nazwę hosta (przyklad.myqnapcloud.com), których będziesz używać do połączeń z serwerem QNAP NAS.

W folderze bin zostaną zapisane dwa pliki — device.key i device.csr. Aby podpisać utworzony certyfikat przy użyciu klucza prywatnego certyfikatu głównego, należy wprowadzić poniższe polecenie. Można też określić datę wygaśnięcia ważności certyfikatu (w przykładzie wprowadzono 730 dni):

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Podpisywanie device.csr. Jeśli utworzono wcześniej hasło dla rootCA.key, należy je wprowadzić.

3.3. Tworzenie certyfikatu na potrzeby serwera NAS przy użyciu serwisu www.selfsignedcertificate.com

Można utworzyć certyfikat z podpisem własnym w Internecie. *W witrynie http://www.selfsignedcertificate.com/ wprowadź adres IP lub nazwę hosta serwera QNAP NAS i kliknij opcję Generate (Generuj). Upewnij się, że wprowadzony adres jest taki sam jak używany do uzyskiwania dostępu do serwera NAS.

*Niektóre przeglądarki mogą automatycznie traktować adres IP jako niebezpieczny i nadal będą wyświetlać komunikat ostrzegawczy.

QNAP
Wprowadź adres IP lub nazwę hosta serwera QNAP NAS.
QNAP
Pobierz pliki .key i .cert.

4. Ustanawianie bezpiecznego połączenia

4.1. Konfigurowanie serwera QNAP NAS w celu korzystania z bezpiecznych połączeń

Wykonanie powyższych czynności spowoduje utworzenie nowego pliku o nazwie device.crt przy użyciu klucza device.key, po czym będzie można pobrać pliki address.cert i address.key z witryny www.selfsignedcertificate.com. Teraz należy przekazać zawartość plików .crt (lub .cert) i .key na serwer QNAP NAS. Otwórz te pliki w Notatniku (lub innym edytorze tekstów)*, zaloguj się na serwerze NAS, przejdź do sekcji Panel sterowania > Zabezpieczenia > Certyfikat i klucz prywatny, skopiuj całą zawartość plików klucza i certyfikatu do odpowiednich pól i kliknij przycisk Zastosuj.

*Do otwarcia pliku nie należy używać programu Microsoft Word. W edytorze tekstów nie należy używać funkcji Zawijanie tekstu.

QNAP
Te pliki są tworzone lub pobierane po zakończeniu powyższego procesu. Otwórz je przy użyciu Notatnika lub innego edytora tekstów.
QNAP
Skopiuj zawartość plików klucza i certyfikatu i wklej w polu Certyfikat i klucz prywatny w Panelu sterowania.
QNAP
Aby przekazać wklejone dane klucza i certyfikatu, kliknij przycisk Zastosuj.
QNAP
Stan w sekcji Certyfikat i klucz prywatny zmieni się z używania ustawień domyślnych na „Używany jest przekazany bezpieczny certyfikat”.

Przejdź do sekcji Panel sterowania > Aplikacje > Serwer WWW i zaznacz opcję Włącz bezpieczne połączenie (HTTPS).

QNAP
Po zastosowaniu certyfikatu włącz bezpieczne połączenie z danym serwerem WWW.

5. Korzystanie z bezpiecznych połączeń

5.1. Zapisywanie certyfikatu głównego na swoich urządzeniach i nawiązywanie bezpiecznych połączeń ze swoim serwerem NAS

W przypadku certyfikatów głównych utworzonych przy użyciu OpenSSL, zmień nazwę z rootCA.pem na rootCA.crt*. W przypadku certyfikatów utworzonych w witrynie www.selfsignedcertificate.com zmień nazwę address.cert na address.crt. Następnie prześlij plik ze zmienioną nazwą na urządzenie, które będzie mieć dostęp do serwera NAS, i otwórz go.

*W niektórych systemach operacyjnych ta czynność może nie być wymagana. W innych systemach operacyjnych mogą być używane inne metody importowania certyfikatów.

Podczas importowania certyfikatu w systemie Windows będą wyświetlane informacje o certyfikacie do potwierdzenia przez użytkownika. Kliknij opcję Zainstaluj certyfikat, aby zapisać go na komputerze. Gdy zostanie wyświetlone zapytanie o miejsce zapisu certyfikatu, wybierz zaufany główny Urząd certyfikacji. Zanim zakończysz, system Windows może poprosić Cię o potwierdzenie jego pochodzenia. W związku z tym, że certyfikat został utworzony przez Ciebie, kliknij przycisk Tak. Po instalacji Twoja przeglądarka powinna zacząć używać tego certyfikatu*.

*Internet Explorer i Edge będą używać tych certyfikatów domyślnie. Inne przeglądarki będą używać innych metod przechowywania certyfikatów głównych i trzeba będzie skonfigurować je ręcznie.

QNAP
Zaimportuj rootCA.crt na swoje komputery, które będą uzyskać dostęp do serwera QNAP NAS.

Aby zmiany zostały zastosowane, zamknij i ponownie otwórz przeglądarki. W pasku adresu wpisz https:// (adres IP lub nazwa hosta serwera NAS):(bezpieczny port), aby zalogować się do serwera NAS. W przeglądarce zostanie wyświetlony komunikat dotyczący certyfikatu, który potwierdza, że serwer NAS został zidentyfikowany i że połączenie jest bezpieczne.

QNAP
Po weryfikacji przeglądarka będzie prawidłowo identyfikować Twoją witrynę i potwierdzać, że połączenie jest bezpieczne.

6. Wydawanie certyfikatów NAS przez Urząd certyfikacji w systemie Windows Server i zarządzanie nimi

Jeśli zarządzasz wieloma urządzeniami przy użyciu usługi Windows Server Active Directory, możesz utworzyć certyfikat główny przy użyciu systemu Windows Server i podpisać żądanie certyfikatu serwera QNAP NAS. Aby to zrobić, najpierw zainstaluj narzędzia Certificate Authority Management Tools w systemie Windows Server. W tym przykładzie użyjemy systemu Windows Server 2012.

QNAP
Certificate Authority Management Tools można znaleźć w sekcji Dodaj role i funkcje.

Po zainstalowaniu narzędzi Certificate Authority Management Tools znajdziesz nowy element („UC AD”) w menu po lewej stronie Menedżera serwera. Oznacza to Usługi certyfikatów Active Directory. W sekcji UC AD musisz skonfigurować certyfikat główny dla swojej sieci. Możesz użyć kreatora, aby utworzyć nowy certyfikat główny przy użyciu systemu Windows Server, albo wybrać istniejący certyfikat główny.

QNAP
Menedżer serwera poinformuje Cię o konieczności skonfigurowania usług certyfikatów Active Directory dla serwera.
QNAP
Postępuj zgodnie z instrukcjami kreatora, aby skonfigurować certyfikat główny. Możesz utworzyć nowy certyfikat główny lub użyć istniejącego klucza prywatnego. W tym przykładzie tworzymy nowy klucz prywatny.
QNAP
Potwierdź ustawienia po uzupełnieniu wszystkich opcji. Zależnie od wymagań związanych z użytkowaniem można wybrać różne opcje.

Po zakończeniu konfiguracji serwer będzie mógł podpisać certyfikat. Aby używać certyfikatu głównego do podpisywania QNAP NAS, zobacz rozdział 3.2 w celu utworzenia pliku certyfikatu .csr. Po utworzeniu pliku .csr znajdź Urzędu certyfikacji w menu Narzędzia Menedżera serwera.

QNAP
Lokalizacja funkcji Urząd certyfikacji.

W sekcji Urząd certyfikacji można zarządzać certyfikatami, które zostały podpisane i wystawione przez Twój serwer. Aby podpisać certyfikat serwera NAS, kliknij swój serwer prawym przyciskiem myszy, wybierz Wszystkie zadania > Prześlij nowe żądanie i znajdź plik .csr, który zawiera adres IP lub nazwę hosta Twojego serwera QNAP NAS*. W sekcji Oczekujące żądania znajdź wcześniej przesłane żądanie i kliknij je, aby wystawić certyfikat.

*Istnieją inne metody tworzenia pliku .csr dla serwera QNAP NAS bez używania wiersza poleceń OpenSSL. Można na przykład skorzystać z tej witryny: https://www.gogetssl.com/online-csr-generator/

QNAP
Prześlij nowe żądanie certyfikatu dla swojego serwera NAS.
QNAP
Znajdź plik .csr utworzony dla swojego serwera NAS przy użyciu OpenSSL.
QNAP
Wystaw certyfikat.

Po wystawieniu certyfikatu wybierz go w sekcji Wystawione certyfikaty i wyeksportuj go do pliku, aby przekazać jego zawartość na serwer QNAP NAS wraz z kluczem prywatnym (zobacz rozdział 4.1). Twój serwer NAS będzie używał certyfikatu wystawionego przez Windows Server.

QNAP
Otwórz sekcję Wystawione certyfikaty i wybierz opcję Kopiuj do pliku podczas wyświetlania wystawionego certyfikatu.
QNAP
Wybierz opcję Certyfikat X.509 szyfrowany algorytmem Base-64 (.CER), aby można było otworzyć plik w Notatniku w systemie Windows Server.
QNAP
Po wykonaniu instrukcji z rozdziału 4.1 dotyczących przekazywania certyfikatu i klucza na serwer NAS Twój serwer NAS będzie używał certyfikatu wystawionego przez Windows Server.
Data wydania: 2016-05-10
Czy te informacje okazały się pomocne?
Dziękujemy za przekazanie opinii.
Dziękujemy za przekazanie opinii. Jeśli masz pytania, napisz na adres support@qnap.com
21% ludzi uważa, że to pomaga.