Secure your synology with ssl certificate from let’s encrypt
Have you updated your Synology to the latest DSM 6? If you haven’t done it yet, here is reason to get you started.
I have been wanting to do this for a long time, but I never managed to figure out how to do it until now.
First of all, you need to have your own domain name pointing at your synology. Follow this guide to learn how.
I use Hover for all my domain names.
If you also want to register your domain at Hover, click on this link or the picture below for a 2$ discount, when you sign up an account with them. Disclosure: I get also $2 discount, thanks!! 🙂
Get a $2 discount if you purchase your domain with Hover
Once you have done that, here is what you do.
Navigate to Security and then click on certificate:
You will have the self-signed Synology certificate available.
Let’s add a certificate for the domain name you created in the previous step:
- Click on Add
- Select Add new certificate
Note, If you get an error while obtaining the certificate, you need to open port 80/443 in your router (Thanks hades2003 for the tip):
Select, Get a new certificate from Let’s encrypt.
To create your certificate, you need to:
- Add your new domain (or subdomain): ds.example.com or example.com
- Add your email
- Enter your old DDNS address: mydomain.synology.me
Now that the new certificate has been created, click on it and select “configure”:
Click on each service and change to your new certificate:
Now, log out of your synology and login using your new domain name. You should see this:
One last change:
- Navigate to Network
- DSM settings
- It is recommended to change your Http and https port numbers (you can do it here)
- Check: automatically redirect http to https , so all your logins and user’s logins will be secured
And you are done!!
Enjoy!!
Ssl сертификат для synology — записки сумасшедшего дроида
Вот и настала пора обновить защиту моего соединения с внешним миром. Платить небезызвестным конторам для выдачи сертификатов большие деньги, ой как не хочется, хотя и есть вполне вменяемый сервис gogetssl.com, который позволяет приобрести сертификат за вполне вменяемые деньги (на момент написания статьи 5$). Поэтому специально для Вас предлагаю небольшой мануал как это сделать за бесплатно, т.е. даром 🙂 Будем мы это делать с помощью небезызвестного сервиса www.startssl.com
1. Регистрация
Первое, о чем хотелось бы сказать, это то, что путь получения и обновления сертификата по сути ничем не отличается, и за 2 недели до окончания срока действия Вашего сертификата, от StartSSL Вам придет ссылка на обновление сертификата. Пройдя по ней, вы по сути пройдете весь путь регистрации и верификации домена с самого начала, но нас же такие трудности не остановят, правда? К тому же бесплатно…
И так, заходим на сайт, и нажимаем на кнопку c ключами в верхнем правом углу сайта, а затем на картинку Sing-up
Проходим через путь идентификации пользователя, кому будет принадлежать будущий сертификат. Необходимо заполнить ВСЕ поля, обязательно использовать только английские буквы.
Далее, на указанную нами почту придет верификационный код, который необходимо будет вставить в форме указанной ниже.
Следующий шаг, при удачном стечении обстоятельств и получении кода подтверждения на электронный почтовый адрес, это выбор размера ключа для нашего сертификата.
Мы сгенерировали сертификат и теперь нам необходимо подтвердить его установку в хранилище сертификатов. Подтверждаем.
На этом процесс регистрации завершен и мы можем перейти к процессу верификации домена.
Важно!
Для перехода к следующему этапу, необходимо дождаться письма на указанный ранее почтовый адрес со ссылкой для дальнейшего получения сертификата.
2. Проверка домена
Перед получением сертификата Вам необходимо пройти процедуру проверки владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation
Выбираем домен на который нам нужен будет сертификат.
Небольшое замечание. Сертификат может быть выдан только на домен третьего уровня, но в полях альтернативных имен будет указан и ваш домен второго уровня.
Предварительно нам нужно будет создать почтовый ящик с фиксированным именем (я выбрал hostmaster@), на который придут данные по сертификату. Если подтверждение не пришло в течении 20-30 минут, можно начинать весь процесс с начала.
После подтверждения, можно приступать к вожделенной генерации самого сертификата.
3. Получение сертификата
Переходим на вкладку Certificates Wizard, и из выпадающего списка выбираем Web Server SSl/TLS Certificate
На следующем шаге мастера происходит генерация Private Key. Значения полей можно оставить по-умолчанию, ВАЖНО придумать пароль и не забыть его записать, он нам понадобится чуть позже. Требования к паролю: только цифры и буквы, от 10 до 32 символов, без пробелов.
Кстати, я бы советовал уже выбирать SHA2, т.к. с 2021 года он перестанет официально поддерживаться большинством браузеров.
После подтверждения, нажав на кнопку Continue, мы получим промежуточный RSA ключ, который необходимо сохранить в файл SSL.txt
Следующим шагом будет выбор нашего уже привязанного и проверенного домена. У меня это было обновление истекшего сертификата на уже существующем домене, поэтому некоторые поля будут скрыты, но от этого порядок действий не меняется, и будет таким же как и при создании нового сертификата, для нового домена.
В следующем шаге мы должны ввести имя нашего домена третьего уровня, для которого и будет создаваться сертификат, чтобы получилось например: nas.example.ru
После подтверждения, нам будет выведено диалоговое окно, в котором будет подтверждение о том, что мастер готов к созданию сертификата для домена третьего уровня указанного ранее.
Согласившись, будет выведено предупреждение о том, что начат процесс создания сертификата, и это может занять до 3 часов. Информация о изготовлении поступит на электронный адрес.
Как только подтверждение будет получено, можно приступать к формированию файлов, содержащих ключ и сертификат.
Для этого, заходим во вкладку Tool Box, и выбираем пункт Retrieve Certificate
В итоге мы получим наш сертификат, который необходимо будет сохранить в текстовый файл под названием SSL.crt
Помните, мы сохраняли промежуточный вариант нашего полученного ключа SSL.txt и пароль? Теперь эти данные нам понадобятся. Для этого заходим в раздел Decrypt Private Key и вставляем в поле Enter Private Key and Password содержимое файла SSL.txt, в поле Passphrase — пароль.
После нажатия кнопки Decrypt, мы получим готовый RSA Private Key, который необходимо сохранить в файл SSL.key
В итоге мы получаем 2 файла SSL.key и SSL.crt. Далее нам необходимо прописать этот сертификат у себя на оборудовании, в данном случае это Synology.
4. Настройка оборудования
Регистрируемся на нашем устройстве и заходим Панель управления -> Безопасность -> Сертификат -> Импортировать сертификат, подставляем в поля
Секретный ключ: SSL.key
Сертификат: SSL.crt
В результате сертификат должен быть применен.
Остается только разрешить работать нашему устройству используя полученный сертификат безопасности. Для этого через Web интерфейс заходим Панель управления -> Сеть -> Настройки DSM, и разрешаем устройству работать по порту 5001.
На этом все. Если что-то не получилось, то всегда (кроме моментов уже сформированного сертификата) можно повторить. Удачи.
Synology nas history
Synology is a Taiwanese manufacturer of Network-Attached Storage (NAS) appliances. Founded in 2000, Synology is long time maker leader in the home and small-business NAS niche.
Synology’s NAS is available as the DiskStation for desktop models, FlashStation for all-flash models, and RackStation for rack-mount models.
Here are several important Synology milestones:
- January 2000 – Synology Inc. is founded
- March 2004 – Synology launches the first ever DiskStation DS-101
- April 2008 – The company releases the first DiskStation to feature 5-bays
- October 2021 – Synology launches its first router
- November 2021 –Synology releases its first all-flash NAS
Test your ssl installation
After you install an SSL Certificate on Synology NAS, it’s always wise to scan your new installation for potential errors or vulnerabilities, just to be on the safe side of things. With this powerful SSL tools, you can get instant reports on all facets of your SSL Certificate and its configuration.