Ssl сертификат для synology — записки сумасшедшего дроида
Вот и настала пора обновить защиту моего соединения с внешним миром. Платить небезызвестным конторам для выдачи сертификатов большие деньги, ой как не хочется, хотя и есть вполне вменяемый сервис gogetssl.com, который позволяет приобрести сертификат за вполне вменяемые деньги (на момент написания статьи 5$). Поэтому специально для Вас предлагаю небольшой мануал как это сделать за бесплатно, т.е. даром 🙂 Будем мы это делать с помощью небезызвестного сервиса www.startssl.com
1. Регистрация
Первое, о чем хотелось бы сказать, это то, что путь получения и обновления сертификата по сути ничем не отличается, и за 2 недели до окончания срока действия Вашего сертификата, от StartSSL Вам придет ссылка на обновление сертификата. Пройдя по ней, вы по сути пройдете весь путь регистрации и верификации домена с самого начала, но нас же такие трудности не остановят, правда? К тому же бесплатно…
И так, заходим на сайт, и нажимаем на кнопку c ключами в верхнем правом углу сайта, а затем на картинку Sing-up
Проходим через путь идентификации пользователя, кому будет принадлежать будущий сертификат. Необходимо заполнить ВСЕ поля, обязательно использовать только английские буквы.
Далее, на указанную нами почту придет верификационный код, который необходимо будет вставить в форме указанной ниже.
Следующий шаг, при удачном стечении обстоятельств и получении кода подтверждения на электронный почтовый адрес, это выбор размера ключа для нашего сертификата.
Мы сгенерировали сертификат и теперь нам необходимо подтвердить его установку в хранилище сертификатов. Подтверждаем.
На этом процесс регистрации завершен и мы можем перейти к процессу верификации домена.
Важно!
Для перехода к следующему этапу, необходимо дождаться письма на указанный ранее почтовый адрес со ссылкой для дальнейшего получения сертификата.
2. Проверка домена
Перед получением сертификата Вам необходимо пройти процедуру проверки владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation
Выбираем домен на который нам нужен будет сертификат.
Небольшое замечание. Сертификат может быть выдан только на домен третьего уровня, но в полях альтернативных имен будет указан и ваш домен второго уровня.
Предварительно нам нужно будет создать почтовый ящик с фиксированным именем (я выбрал hostmaster@), на который придут данные по сертификату. Если подтверждение не пришло в течении 20-30 минут, можно начинать весь процесс с начала.
После подтверждения, можно приступать к вожделенной генерации самого сертификата.
3. Получение сертификата
Переходим на вкладку Certificates Wizard, и из выпадающего списка выбираем Web Server SSl/TLS Certificate
На следующем шаге мастера происходит генерация Private Key. Значения полей можно оставить по-умолчанию, ВАЖНО придумать пароль и не забыть его записать, он нам понадобится чуть позже. Требования к паролю: только цифры и буквы, от 10 до 32 символов, без пробелов.
Кстати, я бы советовал уже выбирать SHA2, т.к. с 2021 года он перестанет официально поддерживаться большинством браузеров.
После подтверждения, нажав на кнопку Continue, мы получим промежуточный RSA ключ, который необходимо сохранить в файл SSL.txt
Следующим шагом будет выбор нашего уже привязанного и проверенного домена. У меня это было обновление истекшего сертификата на уже существующем домене, поэтому некоторые поля будут скрыты, но от этого порядок действий не меняется, и будет таким же как и при создании нового сертификата, для нового домена.
В следующем шаге мы должны ввести имя нашего домена третьего уровня, для которого и будет создаваться сертификат, чтобы получилось например: nas.example.ru
После подтверждения, нам будет выведено диалоговое окно, в котором будет подтверждение о том, что мастер готов к созданию сертификата для домена третьего уровня указанного ранее.
Согласившись, будет выведено предупреждение о том, что начат процесс создания сертификата, и это может занять до 3 часов. Информация о изготовлении поступит на электронный адрес.
Как только подтверждение будет получено, можно приступать к формированию файлов, содержащих ключ и сертификат.
Для этого, заходим во вкладку Tool Box, и выбираем пункт Retrieve Certificate
В итоге мы получим наш сертификат, который необходимо будет сохранить в текстовый файл под названием SSL.crt
Помните, мы сохраняли промежуточный вариант нашего полученного ключа SSL.txt и пароль? Теперь эти данные нам понадобятся. Для этого заходим в раздел Decrypt Private Key и вставляем в поле Enter Private Key and Password содержимое файла SSL.txt, в поле Passphrase — пароль.
После нажатия кнопки Decrypt, мы получим готовый RSA Private Key, который необходимо сохранить в файл SSL.key
В итоге мы получаем 2 файла SSL.key и SSL.crt. Далее нам необходимо прописать этот сертификат у себя на оборудовании, в данном случае это Synology.
4. Настройка оборудования
Регистрируемся на нашем устройстве и заходим Панель управления -> Безопасность -> Сертификат -> Импортировать сертификат, подставляем в поля
Секретный ключ: SSL.key
Сертификат: SSL.crt
В результате сертификат должен быть применен.
Остается только разрешить работать нашему устройству используя полученный сертификат безопасности. Для этого через Web интерфейс заходим Панель управления -> Сеть -> Настройки DSM, и разрешаем устройству работать по порту 5001.
На этом все. Если что-то не получилось, то всегда (кроме моментов уже сформированного сертификата) можно повторить. Удачи.
Лидленд
Let’s Encrypt (LE) – отличный сервис, который предлагает бесплатные SSL-сертификаты для сайтов и аналогичных приложений. Важно понимать, что это проверяет имя сайта и обеспечивает шифрование трафика на и с сайта или устройства, но не проверяет, кто владеет сайтом. Хотя вам необходимо проверить, что вы контролируете сайт, вы не предоставляете никакой информации о личности. Если вы используете веб-сайт электронной коммерции, вам нужно заплатить за более расширенный сертификат. Но если вы просто хотите шифровать связь между вашими устройствами и NAS, то это отличное решение.
Первоначальная настройка хорошо документирована Synology и легко запускается путем перехода через мастер. Сертификаты Let’s Encrypt действительны только в течение 90 дней. Хотя Synology NAS автоматически возобновит сертификаты, возраст которых превышает 60 дней, порт 80 должен быть открыт, чтобы это работало. Процесс проверки для обновления выполняется с использованием только порта 80, в отличие от начального установочного порта 443, не нужно открывать.
Мы можем обновить сертификат вручную, и этот процесс не займет и 5 минут.
Эта процедура работает, если сертификат выдан более чем 30 дней назад, дата будет отображаться оранжевым цветом.
- 80 порт на вашем роутере должен быть открыт и направлен на ваш NAS Synology;
- Включите SSH на вашем NAS Synology;
- Подключитесь по SSH к вашему NAS, нужно будет ввести ваш пароль администратора;
- Перейти в режим администратора используя команду sudo -i. Повторно потребуется ваш пароль администратора;
- Теперь пришло время фактически обновить сертификат. Введите команду /usr/syno/sbin/syno-letsencrypt renew-all -v
На этом все, сертификаты Let’s Encrypt должны обновиться и в панели администатора во вкладке Безопасность->Сертификаты сертификаты будут зеленого цвета с новой датой истечения.
Если вы еще не читали и интересуетесь кэширование браузера на dms synology, то ссылка вот тут. Там наглядно описано о том leverage browser caching кэширование браузера на dms synology.