QNAP, certyfikat https i domena Windows

Serwer dyskowy QNAP możemy skonfigurować tak, aby każde połączenie z panelem administracyjnym było zabezpieczone protokołem HTTPS. Jednak, wykorzystując domyślny certyfikat wystawiony jest przez firmę QNAP, przy każdym połączeniu otrzymujemy komunikat o tym, iż połączenie nie jest bezpieczne a certyfikat prawidłowy.

http://losiakit.pl/wp-content/uploads/2018/01/qunapcert1.jpg

Rozwiązaniem tego problemu jest wygenerowanie własnego certyfikatu, który będzie w pełni zaufany. Możemy to zrobić na kilka sposobów – wykupić certyfikat u któregoś z komercyjnych wystawców certyfikatów, wykorzystać pakiet oprogramowania OpenSSL (pakietu tego używałem przy konfigurowaniu certyfikatów dla serwera VPN uruchomionego na routerze TP-Link TL-WR1043) lub usługi certyfikatów w domenie Windows Active Directory.
Dane środowiska testowego:
domena: losiaktest.local
kontroler: dc1.losiakitest.local
adres serwera QNAP: qnap.losiaktest.local

Instalacja naszego centrum autoryzacji przedstawiona jest w artykule Apache Tomcat, domena Windows, Mozilla Firefox i SSL (https) w punkcie 3.

1. Wygenerowanie klucza prywatnego i żądania podpisania certyfikatu serwera QNAP

Pierwszym krokiem jest utworzenie pary kluczy – robimy to za pomocą biblioteki OpenSSL, domyślnie zainstalowanej na naszym serwerze QNAP. W tym celu logujemy się na nim za pomocą SSH i wydajemy polecenie:
openssl req -nodes -newkey rsa:2048 -keyout qnap.losiaktest.local.key -out
qnap.losiaktest.local.csr
.
Otrzymujemy parę kluczy gdzie qnap.losiaktest.local.key jest kluczem prywatnym serwera a qunap.losiaktest.local.csr jest plikiem żądania podpisania certyfikatu (CSR – certificate signing request). W trakcie dialogu konfiguracyjnego podajemy następujące dane:

  • Country Name
  • State or Province Name
  • Locality Name
  • Organizational Unit Name
  • Common Name
  • Email Address

UWAGA: Ważnym jest aby Common Name zawierało nazwę domenową naszego serwera.
http://losiakit.pl/wp-content/uploads/2018/01/qnapcert4.jpg

Pliki key i CSR możemy, np za pomocą WinSCP, skopiować na nasz komputer.

2. Podpisanie certyfikatu serwera QNAP

Aby podpisac certyfikat przechodzimy pod adres usługi Rejestracji certyfikatów http:\\nazwa_serwera\certsrv i klikamy zadania Żądanie certyfikatu i dalej Zaawansowane żądanie certyfikatu. W pole zapisane żądanie wklejamy zawartość wcześniej wygenerowanego pliku CSR. Jako szablon certyfikatu wybieramy Serwer sieci Web i klikamy Prześlij. Po chwili certyfikat zostanie wystawiony. Pobieramy go (Pobierz certyfikat) wybierając opcje Szyfrowany algorytmem Base-64. W tym momencie dobrze jest mu zmienić nazwę na własną i zapisać w znanej ścieżce. W Właściwościach możemy sprawdzić, że certyfikat jest wystawiony przez nasze CA dla naszego QNAP.

http://losiakit.pl/wp-content/uploads/2018/02/qnapcert5.jpg
http://losiakit.pl/wp-content/uploads/2018/02/qnapcert6.jpg

Wracamy na strone główną usługi Rejestracji certyfikatów i wybieramy zadanie Pobierz certyfikat urzędu certyfikacji, łańcuch certyfikatów lub listę CRL. W kolejnym kroku wybieramy właściwy certyfikat urzędu certyfikacji (przy jednym urzędzie będzie tylko jeden certyfikat), jako metodę kodowania wybieramy Base 64 i klikamy zadanie Pobierz certyfikat urzędu certyfikacji. Tak jak poprzednio zmieniamy mu nazwę i zapisujemy w folderze z naszym keystore. W Właściwościach możemy sprawdzić, że jest to faktycznie certyfikat naszego CA.

http://losiakit.pl/wp-content/uploads/2018/02/qnapcert7.jpg
3. Zaimportowanie podpisanego certyfikatu na serwerze QNAP

Aby zastąpić domyślny certyfikat serwera, tym który chwile wcześniej wygenerowaliśmy i podpisaliśmy logujemy się na naszego QNAPa i przechodzimy do zakładki Panel Sterowania > Bezpieczeństwo > Certyfikat i klucz prywatny.

http://losiakit.pl/wp-content/uploads/2018/02/qnapcert8.jpg

Wybieramy opcje Zastąp Certyfikat a w nastepnym kroku Importuj certyfikat . W kolejnych oknach wskazujemy:

  • Certyfikat – to nasz nowy, podpisany certyfikat serwera QNAP plik qnap.losiaktest.local_podpisany.crt
  • Klucz prywatny – klucz prywatny serwera QNAP – qnap.losiaktest.local.key
  • Certyfikat pośredniczący to certyfikat naszego CA (w tym przypadku głównego) – plik ca.cer

http://losiakit.pl/wp-content/uploads/2018/02/qnapcert9.jpg

Po ponownym połączeniu z panelem administracyjnym serwera QNAP transmisja będzie zabezpieczona a denerwujący komunikat zniknie.
UWAGA1 – klucz prywatny serwera QNAP jest jak sama nazwa mówi jest prywatny wiec dobrym zwyczajem jest nie trzymanie go na swoim komputerze.
UWAGA2 – aby zmusić Firefoxa do pracy z systemowym magazynem certyfikatów musimy wykonać zmiany opisane w artykule Apache Tomcat, domena Windows, Mozilla Firefox i SSL (https) w punkcie 5.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *