Certifikát
Certifikát slouží k zabezpečení služeb SSL zařízení DiskStation, například webu (všechny služby HTTPS), e-mailu nebo služby FTP. Certifikát umožňuje uživatelům ověřit totožnost serveru a správce ještě před zahájením odesílání důvěrných informací.
V části Ovládací panel > Zabezpečení > Certifikát je možné provádět tyto úkony:
- Získat certifikáty ze služby Let's Encrypt.
- Vytvářet certifikáty podepsané držitelem.
- Vytvářet žádosti o podpis certifikátu jiným certifikačním autoritám (CA).
- Podepisovat žádosti o podpis certifikátu od jiných žadatelů
- Spravovat certifikáty na zařízení DiskStation.
Poznámka:
- Od verze DSM 6.0 je možné vytvořit a do zařízení DiskStation importovat více certifikátů.
- Jestliže zaškrtnete možnost Nastavit jako výchozí certifikát, bude se zpracovávaný certifikát používat jako výchozí certifikát. Původní výchozí certifikát přestane být výchozí.
Certifikáty ze služby Let's Encrypt
Získání certifikátů ze služby Let's Encrypt:
Certifikáty SSL/TLS je možné bezplatně a bezpečně získávat od služby Let's Encrypt, otevřené a důvěryhodné certifikační autority.
- Klikněte na možnost Přidat.
- Vyberte možnost Přidat nový certifikát a klikněte na možnost Další
- Vyberte možnost Získat certifikát ze služby Let's Encrypt.
- Zadejte následující údaje:
- Nastavení uložíte kliknutím na možnost Použít. Po potvrzení se certifikát okamžitě importuje do zařízení DiskStation.
Poznámka:
- Certifikáty ze služby Let's Encrypt je možné zaregistrovat pouze s omezeným počtem e-mailových účtů. Jestliže se tento limit překročí, použijte k získání dalších certifikátů dříve zaregistrovaný e-mailový účet.
- Ve službě Let's Encrypt je možné pro jednu doménu zaregistrovat pouze omezený počet certifikátů. Jestliže je tento limit překročen, proveďte jeden z následujících kroků:
- Zadejte současný název domény jako Alternativní název předmětu (SAN) a pro žádost o certifikát použijte jiný název domény.
- Chcete-li požádat o univerzální certifikát, zadejte do pole SAN
*.NÁZEV_DOMÉNY_SYNOLOGY_DDNS
.
- Služba Let's Encrypt provede před vydáním certifikátů pro vaše domény ověření domény. Ověřte, zda mají zařízení DiskStation a směrovač otevřený port 80, určený k ověření domény z internetu. Veškerá ostatní komunikace se službou Let's Encrypt probíhá přes protokol HTTPS a zařízení DiskStation je tak v bezpečí.
- Certifikáty vydané službou Let's Encrypt jsou platné po dobu 90 dní. Před vypršením platnosti certifikátů systém DSM tyto certifikáty po úspěšném ověření domény automaticky obnoví. Ověřte, zda mají zařízení DiskStation a směrovač otevřený port 80, určený k obnovování certifikátů.
- Univerzální certifikáty jsou podporovány pouze pro službu Synology DDNS.
Certifikáty podepsané držitelem
Pojem „certifikát podepsaný držitelem“ označuje certifikát, který byl vytvořen a podepsán stejným subjektem, jehož totožnost se v rámci certifikátu ověřuje (v tomto případě se jedná o zařízení DiskStation). Certifikáty podepsané držitelem jsou podepsány soukromým klíčem, který vygenerovalo zařízení DiskStation. Vzhledem k tomu, že certifikáty podepsané držitelem nebyly vydány certifikačními autoritami třetích stran, nepředstavují dostatečný důkaz totožnosti serveru a používají se obvykle pro zabezpečení spojení mezi serverem a skupinou známých uživatelů.
Vytvoření certifikátu podepsaného držitelem:
- Klikněte na možnost Přidat.
- Vyberte možnost Přidat nový certifikát a klikněte na možnost Další
- Vyberte možnost Vytvořit certifikát podepsaný držitelem.
- Postupujte podle pokynů průvodce nastavením.
Žádosti o podpis certifikátu (CSR)
Kromě certifikátů vydaných službou Let's Encrypt a certifikátů podepsaných držitelem je možné požádat také o certifikáty od dalších komerčních nebo jiných certifikačních autorit. Při získání certifikátu může být potřeba udělat toto:
- Vytvoření žádosti o podpis certifikátu (CSR): Šifrovaný text vygenerovaný zařízením DiskStation, který obsahuje informace, jež budou součástí certifikátu, například název domény, název organizace, obecný popis oblasti a e-mailová adresa.
- Sdělte certifikační autoritě údaje o totožnosti své osoby či organizace a dokažte, že jste majiteli názvu domény, která byla zadaná do pole společného názvu žádost o podpis certifikátu.
Vytvoření žádostí o podpis certifikátu:
- Klikněte na možnost CSR.
- Vyberte možnost Vytvořit žádost o podpis certifikátu (CSR).
- Žádost o podpis certifikátu vytvořte a stáhněte podle pokynů průvodce nastavením.
- Odešlete žádost CSR a požadované informace certifikační autoritě, aby je potvrdila.
Po obdržení požadovaného certifikátu vydaného certifikační autoritou je možné ho společně se soukromým klíčem naimportovat.
Poznámka:
Společně s žádostí o podpis certifikátu se vygeneruje také soukromý klíč. Certifikační autority tento soukromý klíč nepotřebují. Tento soukromý klíč pro zařízení DiskStation uschovejte na bezpečném místě.
Podepsání žádosti o podpis certifikátu:
Aby získali přístup k vašemu zařízení DiskStation, mohou uživatelé jiných zařízení posílat žádosti o podpis certifikátu. Tyto žádosti je možné podepsat pomocí kořenového certifikátu zařízení DiskStation a vygenerované certifikáty žadatelům odeslat.
- Klikněte na možnost CSR.
- Klikněte na možnost Podepsat žádost o podpis certifikátu (CSR).
- Odešlete žádost o podpis certifikátu a zadejte příslušné údaje.
- Klikněte na možnost Další. Systém podepíše žádost o certifikát a vytvoří příslušný certifikát.
Správa certifikátů
Import certifikátů:
Aby bylo zařízení DiskStation pro jiná zařízení důvěryhodné, je možné importovat dříve exportovaný certifikát nebo certifikát od komerční nebo jiné certifikační autority spolu se soukromým klíčem.
- Klikněte na možnost Přidat.
- Vyberte možnost Přidat nový certifikát a klikněte na možnost Importovat certifikát
- Podle pokynů průvodce dokončete importování certifikátu.
Poznámka:
- Některé certifikáty vydané certifikační autoritou vyžadují zprostředkující certifikáty.
- Certifikáty musí mít formát X.509 PEM.
- Soukromé klíče musí mít formát RSA a nesmí být chráněny přístupovým heslem.
Export certifikátů:
Stávající certifikáty je možné za účelem správy či archivace stáhnout a importovat do zařízení jiných uživatelů, aby se tak vytvořila důvěryhodnost mezi vaším zařízením DiskStation a jejich zařízeními. Exportovaný soubor obsahuje certifikát, soukromý klíč a kořenový certifikát zařízení DiskStation podepsaný svým držitelem.
- Vyberte požadovaný certifikát.
- Klikněte na možnost Exportovat certifikát.
Obnovení certifikátů:
Pokud se blíží datum skončení platnosti certifikátu, lze certifikát pomocí této možnosti obnovit.
- Klikněte na možnost CSR.
- Vyberte možnost Obnovit certifikát a klikněte na možnost Další
- Stáhněte vygenerovaný soukromý klíč a žádost o podpis certifikátu.
- Odešlete žádost CSR o obnovený certifikát požadované certifikační autoritě.
Náhrada certifikátů:
Pokud nechcete používat stávající certifikáty, můžete je vyměnit za jiné certifikáty.
- Klikněte na možnost Přidat.
- Vyberte možnost Nahradit stávající certifikát a v rozevírací nabídce vyberte nežádoucí certifikát.
- Podle pokynů průvodce dokončete výměnu certifikátu.
Úprava certifikátů:
Je možné upravovat popis certifikátu nebo nastavit jako výchozí jiný certifikát.
- Vyberte požadovaný certifikát.
- Po kliknutí na možnost Edit budete moci provést některý z uvedených úkonů:
- Změňte popis certifikátu a klikněte na možnost OK.
- Volbou Nastavit jako výchozí certifikát mu přiřadíte výchozí status. Klikněte na možnost Použít.
Konfigurace certifikátů:
Certifikát pro službu je možné vyměnit za jiný certifikát, který vyhovuje vašim potřebám.
- Kliknutím na možnost Konfigurovat zobrazíte všechny služby a odpovídající certifikáty.
- Klikněte na současný certifikát cílové služby.
- V rozevírací nabídce vyberte příslušný certifikát.
- Klikněte na možnost OK.
Poznámka:
- Pro připojení, které není uvedeno v seznamu služby, bude platit výchozí certifikát systému.
Odstranění certifikátů:
- Vyberte nežádoucí certifikát.
- Kliknutím na možnost Odstranit dokončete odstranění certifikátu.
Poznámka:
- Výchozí certifikát nelze odstranit.
- Jestliže odstraníte jiný než výchozí certifikát, převezme odpovídající služby výchozí certifikát. Výchozí certifikát nemusí být s těmito službami zcela kompatibilní.
Oprava certifikátů:
Pokud existují chyby související s certifikátem, přestanou být služby zaregistrované pomocí tohoto certifikátu dostupné. Certifikát lze opravit výběrem některé z následujících možností:
- Požádejte o nový certifikát, například od vydavatele Let's Encrypt.
- Znovu importujte certifikát.
- Vyměňte certifikát služeb za jiný.