Certificato
È possibile utilizzare un certificato per proteggere i servizi SSL della DiskStation, ad esempio web (tutti i servizi HTTPS), e-mail o FTP. Il certificato consente agli utenti di convalidare l'identità di un server e l'amministratore prima di inviare qualsiasi informazione confidenziale.
Su Pannello di controllo > Sicurezza > Certificato, è possibile svolgere le azioni seguenti:
- Ottenere certificati da Let's Encrypt.
- Creare certificati auto-firmato.
- Creare richieste di firma certificati per altre autorità di certificati (CA).
- Firmare le richieste di firma certificati da altri richiedenti
- Gestire certificati in DiskStation.
Nota:
- da DSM 6.0, è possibile creare e importare più certificati in DiskStation.
- Se si fa clic su Imposta come certificato predefinito, il certificato da elaborare sarà usato come certificato predefinito. Il certificato predefinito originale perderà lo stato predefinito.
Certificati di Let's Encrypt
Per ottenere certificati da Let's Encrypt:
È possibile ottenere e proteggere automaticamente i certificati SSL/TLS di Let's Encrypt, un'autorità di certificazione.
- Fare clic su Aggiungi.
- Selezionare Aggiungi nuovo certificato e fare clic su Avanti.
- Selezionare Ottieni certificato da Let's Encrypt.
- Immettere le seguenti informazioni:
- Fare clic su Applica per salvare le impostazioni. Dopo la conferma, il certificato sarà importato immediatamente in DiskStation.
Nota:
- è possibile registrare solo i certificati di Let's Encrypt con un numero limitato di account e-mail. Se il limite viene superato, usare un account e-mail registrato in precedenza per ottenere più certificati.
- È possibile registrare un numero limitato di certificati per dominio da Let's Encrypt. Se il limite viene superato, eseguire una delle seguenti azioni:
- Immettere il nome dominio corrente come Nome oggetto alternativo (SAN, Subject Alternative Name) e usare un altro nome dominio per richiesta certificato.
- Immettere
*.SYNOLOGY_DDNS_DOMAIN_NAME
come SAN per richiedere un certificato con caratteri jolly.
- Let's Encrypt eseguirà la convalida di dominio prima di emettere i certificati per i domini. Verificare che DiskStation e il router presentino la porta 80 aperta per la convalida del dominio da Internet. Tutte le altre comunicazioni con Let's Encrypt vanno su HTTPS e manterranno DiskStation protetto.
- I certificati emessi Let's Encrypt sono validi per 90 giorni. Prima della scadenza del certificato, DSM rinnoverà automaticamente questi certificati dopo la corretta convalida del dominio. Verificare che DiskStation e il router presentino la porta 80 aperta per il rinnovo del certificato.
- I certificati con caratteri jolly sono supportati solo per Synology DDNS.
Certificati auto-firmati
Un certificato auto-firmato è un certificato creato e firmato dalla stessa entità di cui viene certificata l'identità (in questo caso la DiskStation). I certificati auto-firmati sono firmati utilizzando la chiave privata generata dalla DiskStation. I certificati auto-firmati non sono emessi da autorità di certificazione di terze parti, quindi forniscono una prova meno attendibile dell'identità del server e vengono in genere utilizzati per proteggere i canali tra il server e un gruppo di utenti conosciuti.
Per creare un certificati auto-firmati:
- Fare clic su Aggiungi.
- Selezionare Aggiungi nuovo certificato e fare clic su Avanti.
- Selezionare Crea certificato auto-firmato.
- Seguire le istruzioni della procedura guidata.
Richieste di firma del certificato (CSR)
Oltre ai certificati emessi da Let's Encrypt e i certificati autofirmati, è possibile anche richiedere i certificati di alte autorità di certificazione commerciali o di terzi. Per ottenere un certificato, potrebbe essere necessario eseguire le azioni seguenti:
- Creare una richiesta di firma del certificato (CSR): Un corpo di testo crittografato generato dalla DiskStation che contiene le informazioni che saranno incluse nel certificato, ad esempio il nome dominio, il nome dell'organizzazione, la posizione generale e l'indirizzo e-mail.
- Fornire l'identificazione personale o dell'organizzazione all'autorità di certificazione e dimostrare la titolarità del nome dominio inserito nel campo del nome comune della richiesta di firma del certificato.
Per creare richieste di firma del certificato:
- Fare clic su CSR.
- Selezionare Crea richiesta di firma del certificato (CSR).
- Seguire le istruzioni della procedura guidata per creare e scaricare la richiesta di firma del certificato.
- Inviare la CSR e le informazioni richieste all'autorità di certificazione per la conferma.
Quando si ricevere il certificato richiesto emesso dall'autorità di certificazione, sarà possibile importarlo con la chiave privata.
Nota:
Insieme alla richiesta di firma del certificato sarà generata anche una chiave privata. Le autorità di certificazione non richiedono la chiave privata. Conservare la chiave privata della DiskStation segreta e sicura.
Per firmare richieste di firma del certificato:
Gli utenti di altri dispositivi possono inviare richieste di firma certificato per ottenere l'accesso certificato a DiskStation. È possibile firmare le richieste utilizzando il certificato radice in DiskStation e inviare i certificati generati ai richiedenti.
- Fare clic su CSR.
- Fare clic su Firma la richiesta di firma del certificato (CSR).
- Caricare la richiesta di firma del certificato e inserire le relative informazioni.
- Fare clic su Avanti, e il sistema firmerà la richiesta di certificato e creerà un certificato corrispondente.
Gestione certificati
Per importare i certificati:
È possibile importare un certificato esportato in precedenza da un'autorità di certificazione commerciale o di terzi, insieme a una chiave privata, per rendere DiskStation affidabile da parte di altri dispositivi.
- Fare clic su Aggiungi.
- Selezionare Aggiungi nuovo certificato e Importa certificato.
- Seguire le istruzioni della procedura guidata per completare l'importazione del certificato.
Nota:
- i certificati intermedi sono facoltativi per alcuni certificati emessi dalle autorità di certificazione.
- i certificati devono essere nel formato X.509 PEM.
- Le chiavi private devono essere in formato RSA e non possono essere protette da passeraceo.
Per esportare certificati:
I certificati esistenti possono essere scaricati per fini di gestione o archiviazione e possono inoltre essere importati su dispositivi di altri utenti per l'attendibilità tra DiskStation e altri dispositivi. Il file esportato contiene il certificato, la chiave privata e il certificato radice auto-firmato della DiskStation.
- Selezionare il certificato desiderato.
- Fare clic su Esporta certificato.
Per rinnovare certificati:
Quando il certificato sta per scadere, è possibile rinnovarlo utilizzando questa opzione.
- Fare clic su CSR.
- Selezionare Rinnova certificato e fare clic su Avanti.
- Scaricare la chiave privata generata e la richiesta di firma certificato.
- Inviare la CSR all'autorità di certificazione desiderata per il certificato rinnovato.
Per sostituire certificati:
Per non usare più i certificati esistenti, è possibile sostituirli con altri certificati.
- Fare clic su Aggiungi.
- Selezionare Sostituire un certificato esistente e il certificato non desiderato dal menu a discesa.
- Seguire le istruzioni della procedura guidata per completare la sostituzione del certificato.
Per modificare certificati:
È possibile modificare la descrizione certificato oppure impostare un altro certificato come certificato predefinito.
- Selezionare il certificato desiderato.
- Fare clic su Modifica ed eseguire una delle azioni seguenti:
- Modificare la descrizione del certificato e fare clic su OK.
- Selezionare Imposta come certificato predefinito per assegnarlo con lo stato predefinito e fare clic su Applica.
Per configurare i certificati:
È possibile cambiare un certificato per un servizio con un altro certificato adatto a specifiche esigenze.
- Fare clic su Configura per mostrare tutti i servizi e i certificati corrispondenti.
- Fare clic sul certificato corrente del servizio di destinazione.
- Selezionare il certificato appropriato dal menu a discesa.
- Fare clic su OK.
Nota:
- il certificato Predefinito da sistema sarà applicato alla connessione non presente nell'elenco servizi.
Per eliminare certificati:
- Selezionare il certificato da rimuovere.
- Fare clic su Elimina per completare l'eliminazione del certificato.
Nota:
- il certificato predefinito non può essere eliminato.
- Se si elimina un certificato non predefinito, il certificato predefinito ne acquisirà i servizi corrispondenti. Il certificato predefinito potrebbe non essere compatibile con questi servizi.
Per riparare i certificati:
In caso di errori con un certificato, i servizi registrati con tale certificato saranno inaccessibili. Scegliere una delle seguenti opzioni per riparare il certificato:
- Richiedere un nuovo certificato, come Let's Encrypt.
- Importare di nuovo il certificato.
- Cambiare il certificato dei servizi con uno diverso.