Serwer dyskowy QNAP możemy skonfigurować tak, aby każde połączenie z panelem administracyjnym było zabezpieczone protokołem HTTPS. Jednak, wykorzystując domyślny certyfikat wystawiony jest przez firmę QNAP, przy każdym połączeniu otrzymujemy komunikat o tym, iż połączenie nie jest bezpieczne a certyfikat prawidłowy.
Rozwiązaniem tego problemu jest wygenerowanie własnego certyfikatu, który będzie w pełni zaufany. Możemy to zrobić na kilka sposobów – wykupić certyfikat u któregoś z komercyjnych wystawców certyfikatów, wykorzystać pakiet oprogramowania OpenSSL (pakietu tego używałem przy konfigurowaniu certyfikatów dla serwera VPN uruchomionego na routerze TP-Link TL-WR1043) lub usługi certyfikatów w domenie Windows Active Directory.
Dane środowiska testowego:
domena: losiaktest.local
kontroler: dc1.losiakitest.local
adres serwera QNAP: qnap.losiaktest.local
Instalacja naszego centrum autoryzacji przedstawiona jest w artykule Apache Tomcat, domena Windows, Mozilla Firefox i SSL (https) w punkcie 3.
1. Wygenerowanie klucza prywatnego i żądania podpisania certyfikatu serwera QNAP
Pierwszym krokiem jest utworzenie pary kluczy – robimy to za pomocą biblioteki OpenSSL, domyślnie zainstalowanej na naszym serwerze QNAP. W tym celu logujemy się na nim za pomocą SSH i wydajemy polecenie:
openssl req -nodes -newkey rsa:2048 -keyout qnap.losiaktest.local.key -out.
qnap.losiaktest.local.csr
Otrzymujemy parę kluczy gdzie qnap.losiaktest.local.key jest kluczem prywatnym serwera a qunap.losiaktest.local.csr jest plikiem żądania podpisania certyfikatu (CSR – certificate signing request). W trakcie dialogu konfiguracyjnego podajemy następujące dane:
- Country Name
- State or Province Name
- Locality Name
- Organizational Unit Name
- Common Name
- Email Address
UWAGA: Ważnym jest aby Common Name zawierało nazwę domenową naszego serwera.
Pliki key i CSR możemy, np za pomocą WinSCP, skopiować na nasz komputer.
2. Podpisanie certyfikatu serwera QNAP
Aby podpisac certyfikat przechodzimy pod adres usługi Rejestracji certyfikatów http:\\nazwa_serwera\certsrv i klikamy zadania Żądanie certyfikatu i dalej Zaawansowane żądanie certyfikatu. W pole zapisane żądanie wklejamy zawartość wcześniej wygenerowanego pliku CSR. Jako szablon certyfikatu wybieramy Serwer sieci Web i klikamy Prześlij. Po chwili certyfikat zostanie wystawiony. Pobieramy go (Pobierz certyfikat) wybierając opcje Szyfrowany algorytmem Base-64. W tym momencie dobrze jest mu zmienić nazwę na własną i zapisać w znanej ścieżce. W Właściwościach możemy sprawdzić, że certyfikat jest wystawiony przez nasze CA dla naszego QNAP.
Wracamy na strone główną usługi Rejestracji certyfikatów i wybieramy zadanie Pobierz certyfikat urzędu certyfikacji, łańcuch certyfikatów lub listę CRL. W kolejnym kroku wybieramy właściwy certyfikat urzędu certyfikacji (przy jednym urzędzie będzie tylko jeden certyfikat), jako metodę kodowania wybieramy Base 64 i klikamy zadanie Pobierz certyfikat urzędu certyfikacji. Tak jak poprzednio zmieniamy mu nazwę i zapisujemy w folderze z naszym keystore. W Właściwościach możemy sprawdzić, że jest to faktycznie certyfikat naszego CA.
3. Zaimportowanie podpisanego certyfikatu na serwerze QNAP
Aby zastąpić domyślny certyfikat serwera, tym który chwile wcześniej wygenerowaliśmy i podpisaliśmy logujemy się na naszego QNAPa i przechodzimy do zakładki Panel Sterowania > Bezpieczeństwo > Certyfikat i klucz prywatny.
Wybieramy opcje Zastąp Certyfikat a w nastepnym kroku Importuj certyfikat . W kolejnych oknach wskazujemy:
- Certyfikat – to nasz nowy, podpisany certyfikat serwera QNAP plik
qnap.losiaktest.local_podpisany.crt - Klucz prywatny – klucz prywatny serwera QNAP –
qnap.losiaktest.local.key - Certyfikat pośredniczący to certyfikat naszego CA (w tym przypadku głównego) – plik
ca.cer
Po ponownym połączeniu z panelem administracyjnym serwera QNAP transmisja będzie zabezpieczona a denerwujący komunikat zniknie.
UWAGA1 – klucz prywatny serwera QNAP jest jak sama nazwa mówi jest prywatny wiec dobrym zwyczajem jest nie trzymanie go na swoim komputerze.
UWAGA2 – aby zmusić Firefoxa do pracy z systemowym magazynem certyfikatów musimy wykonać zmiany opisane w artykule Apache Tomcat, domena Windows, Mozilla Firefox i SSL (https) w punkcie 5.