SSL-сертификаты для Synology NAS

Заметка за авторством SimWhite (), отправлено в Synology.

Многие владельцы NAS от Synology используют доступ к устройству из интернета, посему встает вопрос в использовании шифрованного подключения к дисковой станции с использованием SSL-сертификатов. Существует отличный сервис StartSSL.com, который абсолютно бесплатно выдает сертификаты и является корневым доверенным центром. Под катом небольшая инструкция в картинках по получению сертификатов от StartSSL.com и их установке.

После регистрации в сервисе, первое что требуется сделать, это привязать наш домен к сервису, для чего его необходимо проверить. Переходим в разделValidations Wizards и выбираем Domain Name Validation.

 start1

 

Выбираем домен на который нам нужен будет сертификат. Небольшое замечание. Сертификат может быть выдан только на домен третьего уровня, но в полях альтернативных имен будет указан и ваш домен второго уровня.start2

 

В качестве проверки сервис использует адреса электронной почты, где можно выбрать один из трех: webmaster@domain.com, postmaster@domain.com илиhostmaster@domain.com. Создаем себе почтовый ящик с требуемым именем, понадобится он только один раз в год при выдаче и последующем обновлении сертификата.start3

 

После получения кода по выбранному адресу, подтверждаем его и переходим на вкладку Certificates Wizard. Нам требуется обычный сертификат для Web-сервера (Synology NAS работают на базе Apache), выбираем Web Server SSL/TLS Certificate.start4

 

Далее нам необходимо создать закрытый ключ, значения полей можно оставить по-умолчанию, важно придумать пароль на ключ и не забыть его записать, он нам понадобится чуть позже. Требования к паролю: только цифры и буквы, от 10 до 32 символов, без пробелов.start5

 

Сгенерированный ключ необходимо сохранить, как есть, включая абсолютно все строки. Чуть позже нам потребуется его раскодировать.start6

 

Следующим шагом будет выбор нашего уже привязанного и проверенного домена. У меня это было обновление истекшего сертификата на уже существующем домене, поэтому некоторые поля будут скрыты.start7

 

В следующем шаге мы должны ввести имя нашего домена третьего уровня, для которого и будет создаваться сертификат, чтобы получилось, например, ds.simwhite.ru.start8

 

После подтверждения сохраняем полученный сертификат текстом, включая абсолютно все строки, в файл ssl.crt и переходим на вкладку Tool Box. Здесь нам необходимо выбрать пункт Decrypt Private Key, вставить скопированный ранее закрытый ключ, ввести пароль и нажать Decrypt. Полученный раскодированный ключ сохраняем в текстовый файл с именем ssl.key.start10

 

Осталось только привязать все это дело в настройках на Synology. Заходим в интерфейс управления нашей станцией, переходим в Панель управления, Веб-службы, вкладка Служба HTTP, ставим галку на «Включить соединения HTTPS для веб-служб» и импортируем наши сохраненные файлы. Теперь мы можем использовать все сервисы нашей дисковой станции с шифрованием доверенным сертификатом.start11

 

PROFIT!

После года использования сертификата у меня оставался вопрос, как происходит продление, т.к. при попытке заранее продлить сертификат, система отказывала ссылаясь на то, что сертификат еще действителен и из операций возможен только его отзыв. Решение пришло в виде письма на днях, за две недели до истечения срока действия сертификата высылается уведомление об этом и все спокойно продлевается снова.

Замечания:

  1. В случае если для доступа к дисковой станции используется DynDNS, можно прописать CNAME запись вашего домена на DNS-имя службы DynDNS.
  2. С помощью сервиса StartSSL можно выписывать бесплатные сертификаты на любой веб-сервер, адрес электронной почты, приложение или даже для собственного XMPP-сервера.
  3. После регистрации на сервисе не забываем сделать экспорт сертификата авторизации, вход осуществляется исключительно по нему, без логинов/паролей.
  4. Если домен был только что куплен, то сервис откажет в регистрации примерно на неделю.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *