証明書
証明書は、ウェブ(すべての HTTPS サービス)、メール、FTP をはじめ、DiskStation の SSL サービスを安全に保護します。証明書があることで、ユーザーはサーバーと administrator の ID を確認し、秘密情報を送信することができます。
[コントロールパネル] > [セキュリティ] > [証明書] を選択すると、次のことが可能になります:
- Let's Encrypt からの証明書を受け取る。
- 自署証明書の作成。
- 他の証明書発行機関 (CA) への証明書署名要求の作成。
- 他の申請者から送られた証明書署名要求に署名する
- DiskStation 上で証明書を管理します。
注:
- DSM 6.0 から、複数の証明書を作成して、DiskStation にインポートできるようになりました。
- [既定値としての証明書に設定します] をクリックすると、処理されている証明書がデフォルトの証明書として使用されます。元のデフォルトの証明書は、デフォルトとしてステータスを失います。
Let's Encrypt から取得した証明書
Let's Encrypt から証明書を取得する:
オープンで信頼性の高い証明書発行機関である Let's Encryptから、自動的に無償で安全な SSL/TLS 証明書を取得することができます。
- [追加] をクリックします。
- [新しい証明書の追加] を選択し、[次へ] をクリックします。
- [Let's Encrypt から証明書を取得する] を選択します。
- 以下の情報を入力してください。
- [適用] をクリックして設定を保存します。確定できたら、証明書は即座に DiskStation にインポートされます。
注:
- Let's Encrypt からの証明書は、特定数のEメール アカウントに対してしか登録できません。上限を超えた場合は、以前登録したEメールアカウントを使って別の証明書を取得してください。
- Let's Encrypt からは1つのドメインにつき、特定の数の証明書しか登録できません。制限を超えた場合は、以下のいずれかを行ってください。
- 現在のドメイン名を Subject Alternative Name (SAN) として入力し、証明書の要求には別のドメイン名を使用します。
*.SYNOLOGY_DDNS_DOMAIN_NAME
を入力して、SAN がワイルドカード証明書を適用できるようにします。
- Let's Encrypt は、あなたのドメインに証明書を発行する前に、ドメインの確認を行います。DiskStation とルーターの 80 ポートをオープンにして、インターネットからドメインを確認できるようにしておいてください。Let's Encrypt との別の通信についても、HTTPS を介してアクセスすると DiskStation を安全に維持することができます。
- Let's Encrypt が発行した証明書は、90 日間有効です。ドメインが確認されたら、証明書が無効になる前に自動的に DSM がその証明書を更新します。DiskStation とルーターの 80 ポートをオープンにして、証明書を更新できるようにしておいてください。
- ワイルドカード証明書は、Synology DDNS に対してのみ対応しています。
自署証明書
自署証明書とは、証明書が証明する実体によって作成、署名された証明書のことです(この場合 DiskStation)。自署証明書には、DiskStation が生成したプライベートキーと共に署名されています。自署証明書は第三者の認証局が発行したものではありませんのでサーバーの ID を証明するものとしては弱く、通常サーバーと身元が分かっているユーザーの間のチャンネルを保証するために使用されます。
自署証明書を作成する:
- [追加] をクリックします。
- [新しい証明書の追加] を選択し、[次へ] をクリックします。
- [自署証明書の作成] を選択します。
- セットアップウィザードに従って設定を行います。
証明書署名要求 (CSR)
Let's Encrypt が発行した証明書と自署の証明書に加え、他の商用証明書発行機関やサードパーティの証明書発行機関が発行した証明書にも適用できます。証明書を取得するには、以下を行ってください:
- 証明書署名要求 (CSR) を作成する:DiskStation が生成した、暗号化されたテキストであり、ドメイン名、組織名、所在地、電子メールアドレスなど証明書に記載される情報が含まれています。
- 個人の ID と組織の ID を証明書発行機関に提供し、証明書署名要求のコモン名欄に入力したドメイン名の所有者があなたであることを証明してください。
証明書署名要求を作成する:
- [CSR] をクリックします。
- [証明書署名要求 (CSR) を作成] を選択します。
- セットアップウィザードの手順に従って、証明書署名要求を作成、ダウンロードしてください。
- 確定するために、CSR と要求された情報を証明書発行機関にお送りください。
証明書発行機関が発行した証明書を受け取ったら、それとプライベート キーを一緒にインポートします。
注:
証明書署名要求と一緒にプライベートキーも生成できます。認証局はこのプライベートキーを必要としませんので、DiskStation のプライベートキーは安全な場所で大切に保管しておいてください。
証明書署名要求に署名する:
他のデバイスのユーザーが DiskStation にアクセスするために証明書署名要求を送信する場合があります。DiskStation のルート証明書を使って要求に署名すると、作成した証明書を申請者に送ることができます。
- [CSR] をクリックします。
- [証明書署名要求 (CSR)] をクリックします。
- 証明書署名要求をアップロードして、関連情報を入力します。
- [次へ] をクリックすると、システムは証明書署名要求に署名し、証明書を作成します。
証明書の管理
証明書をインポートする:
以前エクスポートした証明書、または商用やサードパーティの証明書発行機関から取得した証明書をプライベート キーと一緒にインポートすると、DiskStation が他のデバイスから信用されます。
- [追加] をクリックします。
- [新しい証明書の追加] を選択し、[証明書のインポート]をクリックします。
- ウィザードの指示に従って証明書のインポートを完了してください。
注:
- 任意で、一部の認証局が発行する証明書に中間証明を付けることができます。
- 証明書のフォーマットは、X.509 PEM です。
- プライベート キーは RSA フォーマットでなければなりません。また、パスフレーズで保護することはできません。
証明書をエクスポートする:
管理やアーカイブのために既存の証明書をダウンロードし、別のユーザーのデバイスにもインポートして、DiskStation とそれらのデバイスの間で信頼関係を築くことができます。エクスポートしたファイルには DiskStation の証明書、プライベートキー、自署ルート証明書が含まれます。
- 証明書を選択します。
- [証明書をエクスポート] をクリックします。
証明書を更新する:
証明書の有効期限が切れる前に、このオプションで証明書を更新することができます。
- [CSR] をクリックします。
- [証明書を更新] を選択し、[次へ] をクリックします。
- 作成したプライベート キーと証明書署名要求をダウンロードします。
- 証明書を更新するために、証明書発行期間に CSR を送信します。
証明書を置き換える:
既存の証明書を使用したくない場合は、他の証明書と交換することができます。
- [追加] をクリックします。
- [既存の証明書を置き換えます] を選択し、ドロップダウン メニューから不要な証明書を選択します。
- ウィザードの指示に従って証明書の置き換えを完了してください。
証明書を編集する:
証明書の説明を編集したり、デフォルトの証明書とは異なる別の証明書を設定することもできます。
- 証明書を選択します。
- [編集] をクリックすると、次のいずれかの操作を行うことができます。
- 証明書の説明を変更し、[OK] をクリックします。
- [既定値としての証明書に設定します] を選択し、デフォルトの状態を割り当てます。その後で [適用] をクリックします。
証明書を構成する:
必要に応じて、サービスの証明書を別の証明書に変更することができます。
- [構成] をクリックすると、すべてのサービスと相当する証明書が表示されます。
- ターゲットのサービスの現在の証明書をクリックします。
- ドロップダウンメニューから適切な証明書を選択します。
- [OK] をクリックします。
注:
- [システム デフォルト] 証明書はサービス リストにない接続に適用されます。
証明書を削除するには:
- 不要な証明書を選択します。
- 証明書を削除するには[削除]をクリックします。
注:
- デフォルトの証明書は削除できません。
- デフォルト以外の証明書を削除する場合は、デフォルトの証明書が相当するサービスを引き継ぎます。デフォルトの証明書がこれらのサービスと完全に互換性がない場合があるため、注意が必要です。
証明書の修復:
証明書にエラーがある場合、その証明書を使用して登録されたサービスはアクセス不能になります。以下のオプションの中から選択して証明書を修復してください。
- Let's Encrypt などの新しい証明書を適用する。
- 証明書を再度インポートする。
- サービスの証明書を別のものに変更する。