QNAP Systems, Inc. - armazenamento ligado em rede (NAS)

Language

Support

Usando certificados SSL para aumentar a segurança da conexão para o QNAP NAS

1. Desafios e Soluções

Quando navegando na Internet, você pode estar em risco de expor informações pessoais. As mensagens que você enviar e receber podem não ser seguras e o site que você visita pode não ser autêntico. Esse risco pode se aplicar tanto a comunicação entre você e um website e entre você e seu QNAP NAS. Usando um certificado e a chave privada (TSL/SSL) para o seu NAS você pode receber os seguintes benefícios e fazer a ligação entre você e seu QNAP NAS mais segura:

  1. Evite interceptação ao conectar ao QNAP NAS da sua empresa .
  2. Impedir a adulteração e garantir que você está interagindo com o QNAP NAS correto.
  3. Você e outros usuários NAS deixarão de ver um aviso de que o site/conexão é inseguro.
QNAP
Esta mensagem de aviso é exibida quando um site não tiver um certificado SSL.

Nesta nota de aplicativo iremos abordar como criar um certificado raiz para seu uso e um certificado para o QNAP NAS* usando OpenSSL e Windows Server. Informações detalhadas sobre como os certificados e chaves privadas, trabalho TSL/SSL não serão abordados. Para obter informações sobre como adquirir certificados myQNAPcloud SSL, consulte Como comprar e utilizar certificados SSL myQNAPcloud?

*Os métodos fornecidos são apenas para QNAP NAS e não são adequadas para os web sotes públicos.

2. Introdução

2.1. O que é o SSL?

Segurança de Camada de Transporte (TLS) e o seu antecessor, Camada de Soquete Segura (SSL) sãoprotocolos criptográficosprojetados para fornecer asegurança das comunicaçõesatravés de umarede de computador.

Em seus navegadores da web, já pode haver alguns certificados raiz que tenham sido assinados por autoridades de certificação de raiz. Quando você visita um site confiável e que é aprovado por uma das Autoridades de certificação de raiz, seu navegador reconhecerá que o site como confiável e estabelecer uma conexão segura para a sua utilização.

A maioria dos web sites deve passar pelo processo de certificado antes que possa ser reconhecido por uma autoridade de certificação raiz para o acesso do público. Mas como o seu NAS só poderá ser acessado por seus usuários, é possível atuar como uma Autoridade de Certificação Raiz usando o OpenSSL e Windows Server. Isso permite que você estabeleça uma conexão segura entre o seu dispositivo pessoal/empresa e o NAS como mostrado abaixo:

QNAP
Este artigo irá mostrar como criar um Certificado auto-assinado usando OpenSSL (esquerda).
O último capítulo irá mostrar como criar um certificado raiz com Windows Server (direita).
QNAP Autoridade de certificação raiz
QNAP Certificado Raiz no Dispositivo
QNAP Certificado no NAS

Para uso doméstico, você também pode usar http://www.selfsignedcertificate.com/ para criar rapidamente um certificado auto-assinado sem precisar de linha de comando do OpenSSL (este método só é recomendado para uso privado/residencial). Consulte o Capítulo 3.3 para obter mais informações.

2.2. Requisitos de sistema para o OpenSSL

Para criar um arquivo de Certificado e Chave Privada para proteger a conexão com o QNAP NAS, você pode usar o OpenSSL ou adquirir um certificado de uma Autoridade de certificação confiável . O pacote OpenSSL pode ser baixado para Linux de: https://www.openssl.org/

Para o Windows e outros sistemas operacionais, você pode encontrar outras versões do OpenSSL desenvolvido por membros da comunidade OpenSSL. Neste exemplo, utilizamos Win32OpenSSL.. Este pode ser baixado de https://www.openssl.org/community/binaries.html

*Visual C++ 2008 deve ser instalado antes de usar o OpenSSL no Windows. Ele pode ser baixado de:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Criar um Certificado

3.1. Usando o OpenSSL para criar o certificado raiz

Após o download do OpenSSL para Windows, descompacte o pacote e você verá as seguintes pastas:

QNAP
O conteúdo do Win32OpenSSL. Neste exemplo o pacote é salvo em C:\OpenSSL-Win32

Clique com o botão direito do mouse no botão Iniciar e abra o “Prompt de comando (Admin)". Digite o seguinte comando:

CD C:\OpenSSL-Win32\bin

*Por favor ajuste o caminho de arquivo para o local onde você salvou o pacote descompactado.

QNAP
Abra o “Prompt de comando (Admin)" clicando com o botão direito do mouse no botão Iniciar .
QNAP
Use CD C:\OpenSSL-Win32\bin para ir para a pasta bin

Antes de começar, você pode precisar identificar o arquivo de configuração de OpenSSL. Para definir manualmente o caminho do arquivo de configuração, digite o seguinte comando:

Set openssl_CONF=openssl.cnf QNAP
O nome do arquivo openssl.cnf pode diferir dependendo da sua versão do OpenSSL. Você precisará alterar o comando em conformidade.

Depois de utilizar a linha de comando para criar a chave raiz privada, você pode escolher criar a chave (com até 4.096 caracteres). Neste exemplo, defina a chave para 2048 caracteres. Esta chave privada será a base de confiança para seu certificado, portanto o comando -des3 deve ser usado para nos permitir definir uma senha para esta chave. Esta chave e senha devem ser mantidos secretas. Para criar uma chave sem uma senha, você pode remover o comando -des3:

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Crie uma senha de chave privada de raiz protegida.

Após a chave privada ser criada, use o seguinte comando para criar e configurar um certificado auto-assinado que está emparelhado com a chave. Alterando os -dias, você pode decidir a data de expiração do certificado (utilizamos 730 dias como um exemplo). Depois de inserir este comando, você deve inserir a senha da chave e qualquer informação adicional que será armazenada no certificado. Na seção Nome Comum, digite o nome do certificado raiz.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
A criação de um certificado que está emparelhado com a chave privada que você criou.

Uma chave privada chamada rootCA.key e um certificado SSL chamado rootCA.pem agora serão salvos na pasta bin. O certificado é auto-assinado, válido por 730 dias e funcionará como o certificado raiz para uma QNAP NAS quando você criar certificados diferentes para cada NAS.

QNAP
A recém-criada chave privada e certificado SSL.

3.2. Usando o OpenSSL para criar um certificado para o seu NAS

Depois de criar o certificado raiz, use o seguinte comando para criar outra chave privada emparelhada e certificado para o QNAP NAS. Isto é idêntico à criação de uma chave privada raiz e certificado. Você pode personalizar os caracteres da chave, mas não é necessária uma senha. Na criação de um certificado para um QNAP NAS, o nome comum deve ser o endereço de IP ou nome do host* do QNAP NAS.

*Alguns navegadores podem considerar automaticamente um endereço de IP como precários e ainda vai exibir uma mensagem de aviso.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Criando uma chave privada e certificado para o QNAP NAS. Garanta que você insere o endereço de IP/Nome do host (example.myqnapcloud.com) que você usará para se conectar ao QNAP NAS.

Dois arquivos serão salvos na pasta bin chamada device.key e o device.csr. Você precisará digitar o comando abaixo para assinar o certificado criado com a chave privada do certificado raiz. Você pode decidir a data de expiração do certificado (utilizamos 730 dias como um exemplo).

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Dispositivo de assinatura.csr. Se você tiver criado uma senha para rootCA.key você precisará digitá-lo.

3.3. Usando www.selfsignedcertificate.com para criar um certificado para o seu NAS

É possível criar um certificado auto-assinado na internet. *Usando http://www.selfsignedcertificate.com/, insira o endereço de IP/Nome do host do seu QNAP NAS e clique em "Gerar". Certifique-se de que o endereço digitado é o mesmo que você usa para visitar o seu NAS .

*Alguns navegadores podem considerar automaticamente um endereço de IP como precários e ainda vai exibir uma mensagem de aviso.

QNAP
Insira endereço de IP/Nome de host do seu QNAP NAS.
QNAP
Baixe o arquivo .key e arquivo .cert.

4. Estabelecer uma Conexão Segura

4.1. Configurar o QNAP NAS para ativar uma conexão segura

As ações acima criarão um novo arquivo chamado device.crt usando o device.key, e você será capaz de baixar address.cert e address.key do www.selfsignedcertificate.com. Agora você deve carregar o conteúdo dos arquivos .crt (ou .cert) e arquivos .key para um QNAP NAS. Abra esses arquivos com bloco de notas ou outro editor de texto)*, efetue login na sua conta do NAS, vá para "Painel de Controle" > "Segurança" >"Certificado e chave privada", copie todo o conteúdo da chave e do certificado arquivos para seus respectivos campos e clique em "Aplicar".

* Não utilize o Microsoft Word para abrir o arquivo. Não use o Word Wrap no seu editor de texto.

QNAP
Esses arquivos são criados ou baixado após o processo acima. Abra-os usando o Bloco de Notas ou outro editor de texto.
QNAP
Copie o conteúdo da chave e arquivos de certificado e cole-as em "Certificado e chave privada" no Painel de controle.
QNAP
Clique em Aplicar para carregar os dados do certificado e chave coladas.
QNAP
O "Certificado e chave privada", o status mudará de usando configurações padrão para "Certificado seguro carregado sendo usado"

Vá para "Painel de Controle" > "Aplicativos" > "Servidor da Web" e marque "Habilitar conexão segura (HTTPS)".

QNAP
Ativar uma conexão segura para o servidor da web após a aplicação do certificado

5. Usa Conexão Segura

5.1. Armazenar o certificado raiz em seus dispositivos e ligue de forma segura para o seu NAS

Para os certificados raiz criados usando OpenSSL, altere o nome da rootCA.pem para rootCA.crt*. Para os certificados criados por www.selfsignedcertificate.com, altere o nome de address.cert para address.crt. Transfira e abra o arquivo renomeado para o dispositivo que irá acessar o NAS.

*Isto pode não ser necessário para alguns sistemas operacionais. Sistemas operacionais diferentes podem utilizar outros métodos para importar certificados.

Ao importar o certificado no Windows, informações do certificado serão exibidas para a sua confirmação. Clique em "Instalar certificado" para salvar em seu PC. Quando for perguntado onde você deseja armazenar o certificado, escolha de Autoridades de Certificação de Raiz Confiáveis. Antes de terminar, o Windows pode pedir que você confirme a sua origem. Como ele foi criado por você, você pode clicar em "Sim". Após a instalação, seus navegadores devem começar a utilizar este certificado*.

*O Internet Explorer e Edge usarão esses certificados por padrão. Outros navegadores podem utilizar diferentes métodos para armazenar certificados raiz e você precisará configurar manualmente.

QNAP
Importe o rootCA.crt para seus PCs que vai acessar o QNAP NAS.

Feche e reabra o seu navegador para que as alterações entrem em vigor. Na barra de endereço, digite https:// (endereço de IP do seu NAS ou o nome do host):(Sua Porta Segura) para efetuar login no NAS. Você verá a mensagem do certificado no navegador confirmando que o NAS foi identificado e que a conexão é segura.

QNAP
Uma vez verificado o seu navegador irá identificar corretamente o seu website e confirmar que a conexão é segura.

6. Use a Autoridade de certificação do Windows Server para emitir e gerenciar o certificado do NAS.

Se você gerenciar vários dispositivos usando o Windows Server Active Directory, você pode criar um certificado raiz usando o Windows Server e assinar a solicitação de certificado do seu QNAP NAS. Para fazer isso, primeiro instale Ferramentas de Gerenciamento da Autoridade de Certificação no servidor Windows. Neste exemplo usamos o Windows Server 2012.

QNAP
Você pode encontrar as ferramentas de gerenciamento de Autoridade de certificado "" em "Adicionar Funções e Recursos"

Depois de instalar as ferramentas de gerenciamento da Autoridade de Certificação, você vai encontrar um novo item ("AD CS") no menu à esquerda do Gerente de Servidor. Isto significa Serviços de Certificados do Active Directory. No AD CS você deve configurar um certificado raiz para sua rede. Você pode seguir o assistente para criar um novo Certificado Raiz usando Windows Server ou selecionar um certificado raiz existente.

QNAP
O Gerente de Servidor informará para você configurar seu servidor de Serviços de Certificados do Active Directory.
QNAP
Siga o assistente para configurar um certificado raiz. Você pode criar um novo certificado raiz ou usar uma chave privada existente. Neste exemplo estamos criando uma nova chave privada.
QNAP
Confirme as configuração depois que todas as opções forem concluídas. Diferentes opções podem ser selecionadas para diferentes requisitos de uso.

Depois que a configuração forem concluídas, seu servidor terá autoridade para assinar um certificado. Para usar o certificado raiz do servidor para entrar em seu QNAP NAS, consulte o Capítulo 3.2 para criar um certificado arquivo .csr. Depois que o arquivo .csr é criado, encontre "Autoridade de Certificação" no menu Ferramentas do Gerente de Servidor.

QNAP
A localização da função da Autoridade de Certificação.

Na Autoridade de certificação você será capaz de gerenciar os certificados que foram assinados e emitidos pelo seu servidor. Para assinar o certificado para o NAS, clique com o botão direito no seu servidor, selecione "Todas as tarefas" > "Enviar nova solicitação" e localizar o arquivo arquivo .csr que contém o endereço de IP/nome do host de seu QNAP NAS*. Em "Solicitações pendentes", encontre o pedido que você acabou de enviar e clique com o botão direito do mouse para emitir o certificado.

*Existem outros métodos para criar um arquivo .csr para o QNAP NAS sem usar a interface de linha de comando do OpenSSL, incluindo este site: https://www.gogetssl.com/online-csr-generator/

QNAP
Enviae uma nova solicitação de certificado para o seu NAS.
QNAP
Localize o arquivo arquivo .csr que você criou para o seu NAS usando OpenSSL.
QNAP
Eemissão do certificado

Uma vez emitido o certificado, selecione "Certificados emitidos" e exporte o certificado para um arquivo para carregar o seu conteúdo para o QNAP NAS juntamente com a chave privada (consulte o capítulo 4.1). O seu NAS então usará o certificado que foi emitido pelo seu Windows Server.

QNAP
Abra Certificados Emitidos e selecione "Copiar para Arquivo" ao exibir seu certificado emitido.
QNAP
Selecione "Base-64 codificado X.509 (.CER)" para que você possa abrir o arquivo com o bloco de notas do Windows Server.
QNAP
Após o Capítulo 4.1 seguinte para inserir o certificado e a chave para o seu NAS, seu NAS utilizará o certificado emitido pelo seu Windows Server.
Data de lançamento: 2016-05-10
Foi útil?
Obrigado por seu retorno.
Obrigado por seu retorno. Se você tiver qualquer dúvida, contate support@qnap.com
9% das pessoas acham que foi útil.