Certyfikat
Przy użyciu certyfikatu można zabezpieczyć usługi SSL serwera DiskStation, takie jak WWW (wszystkie usługi HTTPS), e-mail czy FTP. Certyfikat umożliwia użytkownikom sprawdzanie tożsamości serwera i administratora przed wysłaniem jakichkolwiek poufnych informacji.
W sekcji Panel sterowania > Bezpieczeństwo > Certyfikat można wykonać poniższe czynności:
- Uzyskać certyfikaty od Let's Encrypt.
- Utworzyć certyfikaty z podpisem własnym.
- Utworzyć żądania podpisania certyfikatu do innych urzędów certyfikacji (CA).
- Podpisać żądania podpisania certyfikatów od innych aplikantów
- Zarządzać certyfikatami na serwerze DiskStation.
Uwaga:
- W systemie DSM od wersji 6.0 można tworzyć i importować certyfikaty do serwera DiskStation.
- Po zaznaczeniu opcji Ustaw jako certyfikat domyślny obecnie przetwarzany certyfikat zostanie użyty jako certyfikat domyślny. Poprzedni certyfikat domyślny utraci status certyfikatu domyślnego.
Certyfikaty od Let's Encrypt
Aby uzyskać certyfikaty od Let's Encrypt:
Darmowe i bezpieczne certyfikaty SSL/TLS można uzyskać automatycznie od Let's Encrypt – otwartego i zaufanego urzędu certyfikacji.
- Kliknij Dodaj.
- Wybierz opcję Dodaj nowy certyfikat, a następnie kliknij przycisk Dalej.
- Wybierz opcję Uzyskaj certyfikat od Let's Encrypt.
- Wprowadź następujące informacje:
- Kliknij przycisk Zastosuj, aby zapisać ustawienia. Po potwierdzeniu, certyfikat zostanie natychmiast zaimportowany do serwera DiskStation.
Uwaga:
- Certyfikaty od Let's Encrypt można uzyskać za pomocą ograniczonej liczby kont e-mail. W przypadku przekroczenia limitu, aby uzyskać więcej certyfikatów, należy skorzystać z wcześniej zarejestrowanego adresu e-mail.
- Liczba certyfikatów dla pojedynczej domeny jaką można uzyskać od Let's Encrypt jest ograniczona. Jeśli limit zostanie przekroczony, wykonaj jedną z następujących czynności:
- Wprowadź nazwę bieżącej domeny jako Alternatywną nazwa podmiotu (SAN) i skorzystaj z innej nazwy domeny dla żądania certyfikatu.
- Wprowadź
*.NAZWA_DOMENY_SYNOLOGY_DDNS
jako SAN, aby ubiegać się o certyfikat symbolu wieloznacznego.
- Let's Encrypt przed wydaniem certyfikatu dla domen przeprowadzi ich weryfikację. Upewnij się, że serwer DiskStation i router mają otwarty port 80 w celu weryfikacji domeny przez Internet. Cała pozostała komunikacja z Let's Encrypt wykorzystuje protokół HTTPS zapewniający bezpieczeństwo serwerowi DiskStation.
- Certyfikaty wydane przez Let's Encrypt są ważne przez 90 dni. Przed wygaśnięciem certyfikatu DSM automatycznie przedłuży ich ważność po pomyślnej weryfikacji domeny. Upewnij się, że serwer DiskStation i router mają otwarty port 80 w celu przedłużenia ważności certyfikatu.
- Certyfikaty symboli wieloznacznych są obsługiwane tylko przez usługę Synology DDNS.
Certyfikaty z podpisem własnym
Certyfikat z podpisem własnym to certyfikat utworzony i podpisany przez ten sam podmiot, którego tożsamość poświadcza (w tym przypadku jest to serwer DiskStation). Certyfikaty z podpisem własnym są podpisywane przy użyciu klucza prywatnego wygenerowanego przez serwer DiskStation. Certyfikaty z podpisem własnym nie są wydawane przez zewnętrzne urzędy certyfikacji, dlatego w mniejszym stopniu dowodzą tożsamości serwera i służą zazwyczaj do zabezpieczenia kanałów między serwerem a grupą znanych użytkowników.
Aby utworzyć certyfikaty z podpisem własnym:
- Kliknij Dodaj.
- Wybierz opcję Dodaj nowy certyfikat, a następnie kliknij przycisk Dalej.
- Wybierz opcję Utwórz certyfikat z podpisem własnym.
- Postępuj zgodnie z instrukcjami wyświetlanymi przez kreatora konfiguracji.
Żądania podpisania certyfikatów (CSR)
Oprócz certyfikatów wydanych przez Let's Encrypt oraz samodzielnie podpisanych certyfikatów można również uzyskać certyfikaty od innych komercyjnych, zewnętrznych urzędów certyfikacji. Aby uzyskać certyfikat konieczne może być wykonanie poniższych czynności:
- Utwórz żądanie podpisania certyfikatu (CSR): Zaszyfrowany tekst wygenerowany przez serwer DiskStation, zawierający informacje, które zostaną dodane do certyfikatu, takie jak nazwa domeny, nazwa organizacji, ogólna lokalizacja i adres e-mail.
- Podaj osobiste lub firmowe dane identyfikacyjne urzędowi certyfikacyjnemu i potwierdź prawa właściciela domeny wprowadzone w polu „Nazwa pospolita” w żądaniu podpisania certyfikatu.
Aby utworzyć żądania podpisania certyfikatu:
- Kliknij CSR.
- Wybierz opcję Utwórz żądanie podpisania certyfikatu (CSR).
- Postępuj zgodnie z instrukcjami wyświetlanymi przez kreator konfiguracji, aby utworzyć i pobrać żądanie podpisania certyfikatu.
- Wyślij żądanie CSR i wymagane informacje do urzędu certyfikacji w celu potwierdzenia.
Po otrzymaniu żądanego certyfikatu wydanego przez urząd certyfikacyjny możesz zaimportować go wraz z kluczem prywatnym.
Uwaga:
Wraz z żądaniem podpisania certyfikatu zostanie także wygenerowany klucz prywatny. Urzędy certyfikacji nie potrzebują tego klucza prywatnego. Zachowaj klucz prywatny serwera DiskStation w miejscu bezpiecznym.
Aby podpisać żądania podpisania certyfikatu:
Użytkownicy innych urządzeń mogą wysyłać żądania podpisania certyfikatu, aby uzyskać certyfikowany dostęp do serwera DiskStation. Możesz podpisać ich żądania, korzystając z certyfikatu głównego serwera DiskStation i wysłać wygenerowane certyfikaty do aplikantów.
- Kliknij CSR.
- Kliknij przycisk Podpisz żądanie podpisania certyfikatu (CSR).
- Prześlij żądanie podpisania certyfikatu i wprowadź odpowiednie informacje.
- Kliknij przycisk Dalej, aby podpisać żądanie podpisania certyfikatu i utworzyć odpowiedni certyfikat.
Zarządzanie certyfikatami
Aby zaimportować certyfikaty:
Możesz zaimportować wcześniej wyeksportowane certyfikaty lub certyfikaty uzyskane od komercyjnego lub zewnętrznego urzędu certyfikacji wraz ze swoim kluczem prywatnym, aby potwierdzić tożsamość serwera DiskStation dla innych urządzeń.
- Kliknij Dodaj.
- Wybierz opcję Dodaj nowy certyfikat, a następnie kliknij przycisk Importuj certyfikat.
- Aby zakończyć importowanie certyfikatu, postępuj zgodnie z instrukcjami wyświetlanymi w oknie kreatora.
Uwaga:
- Certyfikaty pośrednie są opcjonalne w przypadku niektórych certyfikatów wystawianych przez urzędy certyfikacji.
- Certyfikaty muszą być w formacie X.509 PEM.
- Klucze prywatne muszą być w formacie RSA i nie mogą być chronione hasłem.
Aby wyeksportować certyfikaty:
Istniejące certyfikaty można pobrać w celach zarządzania lub archiwizacji. Mogą one zostać również zaimportowane przez urządzenia innych użytkowników w celu zbudowania komunikacji między nimi a serwerem DiskStation. Wyeksportowany plik zawiera certyfikat, klucz prywatny i certyfikat główny z podpisem własnym serwera DiskStation.
- Wybierz żądany certyfikat.
- Kliknij przycisk Eksportuj certyfikat.
Aby przedłużyć ważność certyfikatów:
Przed wygaśnięciem certyfikatu można przedłużyć jego ważność, używając tej opcji.
- Kliknij CSR.
- Zaznacz opcję Przedłuż certyfikat i kliknij przycisk Dalej.
- Pobierz wygenerowany klucz prywatny oraz żądanie podpisania certyfikatu.
- Wyślij żądanie CSR do wybranego urzędy certyfikacji, aby uzyskać certyfikat o przedłużonej ważności.
Aby zastąpić certyfikaty:
Jeśli nie chcesz już korzystać z istniejących certyfikatów, możesz je zastąpić alternatywnymi certyfikatami.
- Kliknij Dodaj.
- Wybierz opcję Zamień istniejący certyfikat oraz niechciany certyfikat z rozwijanego menu.
- Aby zakończyć zamianę certyfikatu, postępuj zgodnie z instrukcjami wyświetlanymi w oknie kreatora.
Aby edytować certyfikaty:
Możesz edytować opis certyfikatu lub ustawić inny certyfikat jako certyfikat domyślny.
- Wybierz żądany certyfikat.
- Kliknij przycisk Edytuj, aby wykonać poniższe czynności:
- Zmienić opis certyfikatu, a następnie kliknąć przycisk OK.
- Wybrać opcję Ustaw jako certyfikat domyślny, aby przypisać certyfikatowi status certyfikatu domyślnego, a następnie kliknąć przycisk Zastosuj.
Aby skonfigurować certyfikaty:
Możesz zmienić certyfikat dla usługi na inny tak, aby pasował do potrzeb.
- Kliknij przycisk Konfiguruj, aby wyświetlić wszystkie usługi i odpowiadające im certyfikaty.
- Kliknij bieżący certyfikat docelowej usługi.
- Z listy rozwijanej wybierz odpowiedni certyfikat.
- Kliknij przycisk OK.
Uwaga:
- Do połączenia, które nie znajduje się na liście usług, zostanie zastosowany certyfikat Domyślny systemu.
Aby usunąć certyfikaty:
- Wybierz niechciany certyfikat.
- Kliknij przycisk Usuń, aby usunąć certyfikat.
Uwaga:
- Nie można usunąć certyfikatu domyślnego.
- Po usunięciu certyfikatu, który nie jest certyfikatem domyślnym, certyfikat domyślny przejmie używające go usługi. Należy pamiętać, że certyfikat domyślny może nie być w pełni zgodny z danymi usługami.
Aby naprawić certyfikaty:
W przypadku wystąpienia błędów w certyfikacie usługi zarejestrowane przy użyciu tego certyfikatu będą niedostępne. Wybierz jedną z następujących opcji naprawy certyfikatu:
- Zastosuj do nowego certyfikatu, np. Let's Encrypt.
- Ponownie zaimportuj certyfikat.
- Zmień certyfikat usług na inny.