QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

Använda SSL-certifikat för att förbättra anslutningssäkerheten för din QNAP-NAS

1. Utmaningar och lösningar

När du bläddrar bland webbsidor löper du risken att få din personliga information exponerad. De meddelanden du skickar och tar emot kanske inte är säkra, och ibland kan det hända att någon av de webbplatser du besöker inte är autentisk. Den här risken gäller både kommunikationen mellan dig och en webbplats och mellan dig och din QNAP-NAS. Genom att använda ett certifikat och en privat nyckel (TSL/SSL) för din NAS får du följande fördelar samt gör anslutningen mellan dig och din QNAP-NAS säkrare:

  1. Avlyssning förhindras när du ansluter till din/ditt företags QNAP-NAS.
  2. Manipulering förhindras, och det säkerställs att du interagerar med korrekt QNAP-NAS.
  3. Du och andra NAS-användare kommer inte längre att se en varning för att anslutningen/webbplatsen är osäker.
QNAP
Detta varningsmeddelande visas när en webbplats saknar rätt SSL-certifikat.

I den här programanteckningen kommer vi att visa hur du skapar ett rotcertifikat för din egen användning och ett certifikat för QNAP-NAS-enheten* genom att använda OpenSSL och Windows Server. Ingen detaljerad information om hur certifikat, privata nycklar och TSL/SSL fungerar kommer att ges. För information om hur du köper myQNAPcloud-SSL-certifikat läser du avsnittet Hur köper och använder jag myQNAPcloud-SSL-certifikat?

*De metoder som anges här gäller endast för QNAP-NAS-enheter och lämpar sig inte för offentliga webbplatser.

2. Introduktion

2.1. Vad är SSL?

Transport Layer Security (TLS) och dess föregångare Secure Socket Layer (SSL) är kryptografiska protokoll utformade att ge kommunikationssäkerhet i ett datornätverk.

Eventuellt finns det redan några rotcertifikat i dina webbläsare som har signerats av rotcertifikatutfärdare. Det innebär att när du besöker en webbplats som är godkänd och betrodd av någon av rotcertifikatutfärdarna tolkar din webbläsare denna webbplats som tillförlitlig och upprättar en säker anslutning.

De flesta webbplatser måste genomgå certifikatprocessen innan de kan identifieras av en rotcertifikatutfärdare för offentlig åtkomst. Men eftersom din NAS endast kommer att användas av dess användare kan den fungera som en rotcertifikatutfärdare genom att använda OpenSSL och Windows Server. Därigenom ges du möjlighet att upprätta en säker anslutning mellan din privata enhet/företagets enhet och NAS-enheten enligt vad som visas nedan:

QNAP
I den här artikeln visas hur du skapar självsignerade certifikat med OpenSSL (vänster).
I det sista kapitlet visas hur du skapar ett rotcertifikat med Windows Server (höger).
QNAP Rotcertifikatutfärdare
QNAP Rotcertifikat på enheten
QNAP Certifikat på NAS-enheten

För hemanvändning kan du även använda http://www.selfsignedcertificate.com/ för att snabbt skapa ett självsignerat certifikat utan att behöva använda OpenSSL-kommandoraden (den här metoden rekommenderas endast för hemanvändning/privat användning). Se kapitel 3.3 för mer information:

2.2. Systemkrav för OpenSSL

För att skapa ett certifikat och en fil med privat nyckel för att säkra anslutningen till din QNAP-NAS kan du använda OpenSSL eller köpa ett certifikat av en betrodd certifikatutfärdare. OpenSSL-paketet kan laddas ned för Linux från: https://www.openssl.org/

För Windows och andra operativsystem hittar du även andra versioner av OpenSSL som utvecklats av OpenSSL-communitymedlemmar. I vårt exempel använder vi Win32OpenSSL. Programbiblioteket kan laddas ned från https://www.openssl.org/community/binaries.html

*Visual C++ 2008 måste ha installerats innan du kan använda OpenSSL i Windows. Programutvecklingsmiljön kan laddas ned från:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Skapa ett certifikat

3.1. Använda OpenSSL för att skapa rotcertifikatet

Efter att du laddat ned OpenSSL för Windows dekomprimerar du paketet varpå följande mappar visas:

QNAP
Efter att du laddat ned OpenSSL för Windows dekomprimerar du paketet varpå följande mappar visas:

Högerklicka på startknappen och öppna ”Command Prompt (Admin)” (kommandotolken (administratör)). Ange sedan följande kommando:

CD C:\OpenSSL-Win32\bin

*Ändra filsökvägen till platsen där du sparat det dekomprimerade paketet.

QNAP
Öppna ”Command Prompt (Admin)” (kommandotolken (administratör)) genom att högerklicka på startknappen.
QNAP
Använd CD C:\OpenSSL-Win32\bin för att förflytta dig till binmappen

Innan du sätter igång behöver du identifiera OpenSSL-konfigurationsfilen. För att manuellt ställa in konfigurationsfilsökvägen anger du följande kommando:

Set openssl_CONF=openssl.cnf QNAP
Filnamnet openssl.cnf file kan skilja sig åt vad som visas här beroende på vilken version av OpenSSL du använder. Det kan därför hända att du måste ändra kommandot något.

Efter att du använt den här kommandoraden för att skapa den privata rotnyckeln kan du skapa nyckeln (upp till 4096 tecken). I vårt exempel ställer vi in att nyckeln ska vara 2048 tecken lång. Den här privata nyckeln kommer att utgöra grunden för all behörighet som ges av ditt certifikat. Därför ska kommandot –des3 användas för att ett lösenord ska kunna ställas in för den här nyckeln. Den här nyckeln och lösenordet måste hållas hemliga. För att skapa en nyckel utan någon lösenord kan du ta bort kommandot -des3:

openssl genrsa -des3 -out rootCA.key 2048 QNAP
Skapa en lösenordsskyddad privat rotnyckel.

Efter att den privata nyckeln skapats använder du följande kommando för att skapa och konfigurera ett självsignerat certifikat som parkopplas med nyckeln. Genom att ändra ”-days” (-dagar) kan du bestämma certifikatets förfallodatum (i vårt exempel använder vi 730 dagar). Efter att du angett det här kommandot måste du ange lösenordet för nyckeln och eventuell ytterligare information som ska lagras i certifikatet. I avsnittet ”Common Name” (nätverksnamn) anger du namnet på det här rotcertifikatet.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem QNAP
Skapa ett certifikat som är parkopplat med den privata nyckel du har skapat.

En privat nyckel med namnet rootCA.key och ett SSL-certifikat med namnet rootCA.pem kommer nu att sparas i binmappen. Certifikatet är självsignerat, giltigt i 730 dagar och kommer att fungera som rotcertifikatet för en QNAP-NAS när du skapar olika certifikat för varje NAS-enhet.

QNAP
Den privata nyckel och det SSL-certifikat du nyss skapade.

3.2. Använda OpenSSL för att skapa ett certifikat för din NAS

Efter att du skapat rotcertifikatet använder du följande kommando för att skapa en till parkopplad privat nyckel och ett till certifikat för din QNAP-NAS. Kommandot är samma som när du skapar en privat rotnyckel och ett certifikat. Du kan välja vilka tecken du vill för nyckeln. Inget lösenord krävs. När du skapar ett certifikat för en QNAP-NAS måste ”Common Name” (nätverksnamn) vara IP-adressen eller värdnamnet* för QNAP-NAS-enheten.

*Det kan hända att en del webbläsare automatiskt bedömer en IP-adress som osäker och därför visar ett varningsmeddelande.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
QNAP
Skapa en privat nyckel och ett certifikat för din QNAP-NAS. Se till att du anger den IP-adress/det värdnamn (exempel.myqnapcloud.com) som du kommer att använda för att ansluta till QNAP-NAS-enheten.

Två filer, som heter device.key och device.csr, kommer att sparas till binmappen. Du kommer att behöva ange nedanstående kommando för att signera det skapade certifikatet med rotcertifikatets privata nyckel. Du kan själv bestämma certifikatets förfallodatum (i vårt exempel använder vi 730 dagar):

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 QNAP
Signering med device.csr. Om du har skapat ett lösenord för rootCA.key måste du även ange det.

3.3. Använda www.selfsignedcertificate.com för att skapa ett certifikat för din NAS

Det är också möjligt att skapa ett självsignerat certifikat på internet. *Gå till http://www.selfsignedcertificate.com/ och ange din QNAP-NAS-enhets IP-adress/värdnamn och klicka på ”Generate” (generera). Kontrollera att den IP-adress du anger är samma som du använder för att koppla upp dig mot din NAS.

*Det kan hända att en del webbläsare automatiskt bedömer en IP-adress som osäker och därför visar ett varningsmeddelande.

QNAP
Ange din QNAP-NAS-enhets IP-adress/värdnamn
QNAP
Ladda ned filerna .key och .cert.

4. Upprätta en säker anslutning

4.1. Konfigurera QNAP-NAS-enheten att möjliggöra en säker anslutning

Genom ovanstående åtgärder skapas en ny fil med namnet device.crt med hjälp av device.key; du kommer att kunna ladda ned address.cert och address.key från www.selfsignedcertificate.com. Du måste nu ladda upp innehållet i filerna .crt (eller .cert) och .key till en QNAP-NAS. Öppna dessa filer med Anteckningar (eller någon annan textredigerare)*, logga in till din NAS, gå till ”Control Panel” (Kontrollpanelen) > ”Security” (Säkerhet) > ”Certificate & Private Key” (Certifikat och privat nyckel), kopiera hela innehållet för nyckeln och certifikatfilerna till deras respektive fält, och klicka sedan på ”Apply” (verkställ).

*Använd inte Microsoft Word för att öppna filen. Använd inte automatiskt radbyte i din textredigerare.

QNAP
Använd inte Microsoft Word för att öppna filen. Använd inte automatiskt radbyte i din textredigerare.
QNAP
Kopiera innehållet från nyckel- och certifikatfilerna och klistra in det i ”Certificate and Private Key” (certifikat och privat nyckel) på kontrollpanelen.
QNAP
Klicka på ”Apply” (verkställ) för att ladda upp den inklistrade nyckeln och certifikatdatamängderna.
QNAP
Statusen ”Certificate & Private Key” (certifikat och privat nyckel) ändras från att standardinställningarna används till ”Uploaded secure certificate being used” (uppladdat säkert certifikat används).

Gå till ”Control Panel” (Kontrollpanelen) > ”Applications” (Program) > ”Web Server” (Webbserver) och markera kryssrutan för ”Enable secure connection (HTTPS)” (aktivera säker anslutning (HTTPS).

QNAP
Aktivering av en säker anslutning för webbservern efter att certifikatet tillämpats.

5. Använda säker anslutning

5.1. Spara rotcertifikatet på dina enheter och anslut på ett säkert sätt till din NAS

För rotcertifikat som skapats med OpenSSL ändrar du namnet för rootCA.pem till rootCA.crt*. För certifikat som skapats på www.selfsignedcertificate.com ändrar du namnet för adress.cert till address.crt. Överför sedan den namnändrade filen till den enhet som ska ha tillgång till NAS-enheten.

*För vissa operativsystem behövs inte detta. Det kan skilja sig åt vilka metoder respektive operativsystem använder för att importera certifikat.

När certifikatet importeras i Windows visas information om certifikatet och du uppmanas bekräfta det. Klicka på ”Install Certificate” (installera certifikatet) för att spara det på din dator. När du tillfrågas om lagringsplats för certifikatet väljer du mappen ”Trusted Root Certificate Authorities” (betrodda rotcertifikatutfärdare). Innan installationen av certifikatet slutförs kan det hända att Windows ber dig bekräfta certifikatets ursprung. Eftersom det skapats av dig själv kan du klicka på ”Yes” (ja). Efter slutförd installation bör dina webbläsare börja använda det här certifikatet*.

*Internet Explorer och Edge kommer att använda dessa certifikat som standard. Andra webbläsare kan eventuellt använda andra metoder för lagring av rotcertifikat, och du måste då konfigurera dessa manuellt.

QNAP
Importera rootCA.crt till de av dina datorer som ska ha tillgång till QNAP-NAS-enheten.

Stäng och öppna webbläsarna på nytt för att ändringarna ska träda i kraft. Gå till adressfältet och ange https:// (Din NAS-enhets IP-adress eller värdnamn):(Din säkra port) för att logga in till NAS-enheten. Ett certifikatmeddelande kommer att visas i webbläsaren för att bekräfta att din NAS har identifierats och att anslutningen nu är säker.

QNAP
Efter verifiering kommer din webbläsare att identifiera webbplatsen och bekräfta att anslutningen är säker.

6. Använda Windows Servers certifikatutfärdare för att utfärda och hantera NAS-enhetens certifikat.

Om du hanterar flera enheter med Windows Server Active Directory kan du skapa ett rotcertifikat med Windows Server och signera certifikatbegäran för din QNAP-NAS. För att göra detta installerar du först ”Certificate Authority Management Tools” (hanteringsverktyg för certifikatutfärdare) i Windows Server. I vårt exempel använder vi Windows Server 2012.

QNAP
Du hittar ”Certificate Authority Management Tools” (hanteringsverktyg för certifikatutfärdare) i ”Add Roles and Features” (lägg till roller och funktioner)

Efter att du installerat ”Certificate Authority Management Tools” (hanteringsverktyg för certifikatutfärdare) visas ett nytt objekt (”AD CS”) i Server Managers vänstra meny. Akronymen står för ”Active Directory Certificate Services” (Active Directory-certifikattjänster). I AD CS måste du konfigurera ett rotcertifikat för ditt nätverk. Du kan välja mellan att skapa ett nytt rotcertifikat med hjälp av Windows Server eller välja ett som redan finns.

QNAP
Server Manager uppmanar dig att konfigurera din servers Active Directory-certifikattjänster.
QNAP
Följ anvisningarna i guiden för att konfigurera ett rotcertifikat. Du kan skapa ett nytt rotcertifikat eller använda en befintlig privat nyckel. I vårt exempel skapar vi en ny privat nyckel.
QNAP
Bekräfta inställningarna efter att alla alternativ ställts in. Olika alternativ kan väljas för olika användningsbehov.

Efter att konfigurationen slutförts har din server behörighet att signera ett certifikat. Information om att använda serverns rotcertifikat för att signera din QNAP-NAS ges i kapitel 3.2 om att skapa en .csr-fil för certifikatet. När .csr-filen skapats hittar du ”Certificate Authority” (certifikatutfärdare) i Server Managers verktygsmeny.

QNAP
Menyplatsen för funktionen ”Certificate Authority” (certifikatutfärdare).

Med hjälp av ”Certificate Authority” (certifikatutfärdare) kan du hantera de certifikat som signerats och utfärdats av din server. För att signera certifikatet för NAS-enheten högerklickar du på din server, väljer ”All Tasks” (Alla uppgifter) > ”Submit new request” (Skicka ny begäran) och letar reda på .csr-filen som innehåller IP-adressen/värdnamnet för din QNAP-NAS*. I mappen ”Pending Requests” (pågående begäranden) letar du reda på den begäran du just skickade och högerklickar på den för att utfärda certifikatet.

*Det finns andra metoder för att skapa en .csr för din QNAP-NAS utan att använda OpenSSL-kommandoradsgränssnittet, inklusive den här webbplatsen: https://www.gogetssl.com/online-csr-generator/

QNAP
Skicka en ny certifikatbegäran för din NAS.
QNAP
Leta reda på .csr-filen som du skapade för din NAS med hjälp av OpenSSL.
QNAP
Utfärda certifikatet

När certifikatet utfärdats väljer du det i mappen ”Issued Certificates” (utfärdade certifikat) och exporterar certifikatet till en fil för att ladda upp dess innehåll till din QNAP-NAS ihop med den privata nyckeln (se kapitel 4.1). Din NAS kommer därefter att använda det certifikat som utfärdats av Windows Server.

QNAP
Öppna mappen ”Issued Certificates” (utfärdade certifikat) och välj ”Copy to File” (kopiera till fil) när ditt utfärdade certifikat visas.
QNAP
Välj ”Base-64 encoded X.509 (.CER)” (bas-64-kodad X.509 (.CER)) så att du kan öppna filen med Anteckningar i Windows Server.
QNAP
Efter att du följt anvisningarna i kapitel 4.1 för att ange certifikatet och nyckeln i din NAS kommer den att använda det certifikat som utfärdats av din Windows Server.
Lanseringsdatum: 2016-05-10
Var detta till hjälp?
Tack för din feedback.
Tack för din feedback. Om du har några frågor kontaktar du oss på support@qnap.com
Användare som tyckte detta var användbart 21% procent.