• Главная <
  • Галерея
  • Карта сайта
  • Наши контакты
  • Обратная связь

Использование SSL-сертификатов для повышения безопасности соединений с сервером QNAP NAS

  1. 1. Проблемы и решения Во время работы в Интернете существует риск разглашения личных данных. Отправленные...
  2. 2.2. Системные требования, связанные с библиотекой OpenSSL
  3. 3. Создание сертификата
  4. 3.2. Создание сертификата для NAS с использованием библиотеки OpenSSL
  5. 3.3. Создание сертификата для сервера NAS с использованием сайта www.selfsignedcertificate.com
  6. 4. Установление безопасного соединения
  7. 5. Использование безопасных соединений
  8. 6. Выдача и управление сертификатами NAS Центром сертификации в Windows Server

1. Проблемы и решения

Во время работы в Интернете существует риск разглашения личных данных. Отправленные и полученные сообщения могут быть небезопасными, а посещаемые вами веб-сайты могут быть не подлинными. Этот риск относится как к общению между пользователем и веб-сайтом, так и к пользователю и серверу QNAP NAS. Использование сертификата и закрытого ключа (TSL / SSL) на сервере NAS обеспечивает следующие преимущества и делает более безопасным соединение между пользователем и QNAP NAS:

  1. Запрет прослушивания при подключении к частному / корпоративному серверу QNAP NAS.
  2. Предотвращение изменений и обеспечение взаимодействия с соответствующим сетевым хранилищем QNAP.
  3. Вы и другие пользователи NAS не увидите предупреждение о том, что соединение или веб-сайт небезопасны.

Это предупреждающее сообщение отображается, когда на сайте нет действующего сертификата SSL.

В этих заметках по применению мы покажем вам, как создать корневой сертификат для ваших собственных нужд и сертификат для сервера QNAP NAS * с использованием OpenSSL и Windows Server. Подробная информация о работе сертификатов, закрытых ключей и шифрования TSL / SSL здесь не приводится. Для получения дополнительной информации о покупке SSL-сертификатов myQNAPcloud см. Как купить SSL-сертификаты myQNAPcloud и использовать их?

* Представленные методы применимы только к серверам QNAP NAS и не подходят для общедоступных веб-сайтов.

2. Введение

2.1. Что такое SSL?

Безопасность транспортного уровня (TLS) и его предшественник, Secure Sockets Layer (SSL), являются криптографическими протоколами, созданными для обеспечения безопасной связи в компьютерной сети.

Первичные сертификаты, подписанные корневыми центрами сертификации, могут быть уже установлены в вашем браузере. Поэтому, если вы посещаете сайт, который был одобрен и доверен одним из основных центров сертификации, ваш браузер распознает сайт как надежный и установит безопасное соединение, которое вы можете использовать.

Большинство веб-сайтов должны пройти процесс сертификации, прежде чем они будут утверждены для публичного использования корневым центром сертификации. Однако только ваши пользователи имеют доступ к вашему NAS, поэтому вы можете взять на себя роль корневого центра сертификации, используя OpenSSL и Windows Server. Это позволит вам установить безопасные соединения между вашим персональным устройством или устройством компании и сервером NAS, как показано ниже:

Это позволит вам установить безопасные соединения между вашим персональным устройством или устройством компании и сервером NAS, как показано ниже:

В этой статье показано, как создать самозаверяющий сертификат с помощью OpenSSL (слева).
Последняя глава содержит информацию о создании корневого сертификата с использованием Windows Server (справа).

В случае домашнего использования, веб-сайт также будет полезен http://www.selfsignedcertificate.com/ , Это позволяет быстро создавать самозаверяющий сертификат без использования командной строки OpenSSL (этот метод рекомендуется для домашних / частных приложений). Более подробную информацию можно найти в главе 3.3.

2.2. Системные требования, связанные с библиотекой OpenSSL

Чтобы создать закрытый ключ и файл сертификата для защиты соединения с сервером QNAP NAS, вы можете использовать протокол OpenSSL или купить сертификат у доверенного центра сертификации. Пакет OpenSSL для Linux можно скачать с: https://www.openssl.org/

Другие версии OpenSSL, разработанные членами сообщества OpenSSL, можно найти для Windows и других операционных систем. В этом примере используется Win32OpenSSL. Вы можете скачать его с сайта https://www.openssl.org/community/binaries.html

* Перед использованием OpenSSL в Windows необходимо установить программное обеспечение Visual C ++ 2008. Вы можете скачать его с:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF

3. Создание сертификата

3.1. Создание корневого сертификата с использованием OpenSSL

После загрузки OpenSSL в Windows вы должны извлечь файлы. Пакет содержит следующие папки:

Пакет содержит следующие папки:

Содержимое пакета Win32OpenSSL. В этом примере пакет был сохранен в папке C: \ OpenSSL-Win32.

Щелкните правой кнопкой мыши кнопку «Пуск» и откройте командную строку (администратор). Затем введите следующую команду:

CD C: \ OpenSSL-Win32 \ bin

* Отрегулируйте путь к сохраненной и распакованной упаковке.

Откройте окно командной строки (администратор), щелкнув правой кнопкой мыши правой кнопкой мыши.

Откройте окно командной строки (администратор), щелкнув правой кнопкой мыши правой кнопкой мыши

Используйте команду CD C: \ OpenSSL-Win32 \ bin, чтобы перейти в папку bin.

Перед началом работы может потребоваться определить файл конфигурации OpenSSL. Чтобы вручную ввести путь к файлу конфигурации, введите следующую команду:

Установите openssl_CONF = openssl.cnf Установите openssl_CONF = openssl

Имя файла openssl.cnf может отличаться в зависимости от версии библиотеки OpenSSL. В этом случае команда должна быть изменена соответствующим образом.

После использования командной строки для создания первичного личного ключа вы можете создать ключ (не более 4096 символов). В этом примере установлен ключ, состоящий из 2048 символов. Этот закрытый ключ будет основой доверия к вашему сертификату, поэтому вы должны использовать команду -des3 для установки пароля для этого ключа. Ключ и пароль не должны разглашаться. Чтобы создать ключ без пароля, вы можете удалить команду -des3:

openssl genrsa -des3 -out rootCA.key 2048 openssl genrsa -des3 -out rootCA

Создание защищенного паролем главного закрытого ключа.

После создания закрытого ключа используйте следующую команду для создания и настройки парного самозаверяющего сертификата. Изменяя параметр -days, вы можете указать срок действия сертификата (в примере 730 дней). После ввода этой команды необходимо ввести пароль ключа и любую дополнительную информацию, которая будет храниться в сертификате. В разделе Common name введите имя этого корневого сертификата.

openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem openssl req -x509 -new -nodes -key rootCA

Создание парного сертификата с закрытым ключом, который вы создали.

Закрытый ключ с именем rootCA.key и сертификат SSL с именем rootCA.pem теперь будут сохранены в папке bin. Сертификат имеет собственную подпись, действителен в течение 730 дней и будет действовать в качестве сертификата основного сервера QNAP NAS, если вы создаете разные сертификаты для каждого NAS.

Сертификат имеет собственную подпись, действителен в течение 730 дней и будет действовать в качестве сертификата основного сервера QNAP NAS, если вы создаете разные сертификаты для каждого NAS

Недавно созданный закрытый ключ и сертификат SSL.

3.2. Создание сертификата для NAS с использованием библиотеки OpenSSL

После создания корневого сертификата используйте следующую команду, чтобы создать другую пару закрытого ключа и сертификата для сервера QNAP NAS. Процесс такой же, как и при создании первичного закрытого ключа и сертификата. Вы можете настроить количество символов в ключе, но пароль не требуется. При создании сертификата сервера QNAP NAS общее имя должно быть IP-адресом или именем хоста * сервера QNAP NAS.

* Некоторые браузеры могут автоматически считать IP-адрес небезопасным и по-прежнему отображать предупреждающее сообщение.

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr openssl genrsa -out device

Создание закрытого ключа и сертификата для сервера QNAP NAS. Убедитесь, что вы ввели IP-адрес или имя хоста (example.myqnapcloud.com), которые вы будете использовать для подключения к QNAP NAS.

В папке bin будут сохранены два файла - device.key и device.csr. Чтобы подписать созданный сертификат с помощью закрытого ключа корневого сертификата, введите следующую команду. Вы также можете указать срок действия сертификата (в примере 730 дней):

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 openssl x509 -req -in device

Подписание device.csr. Если вы ранее создали пароль для rootCA.key, вы должны ввести его.

3.3. Создание сертификата для сервера NAS с использованием сайта www.selfsignedcertificate.com

Вы можете создать самоподписанный сертификат в Интернете. * Введите IP-адрес или имя хоста сервера QNAP NAS по адресу http://www.selfsignedcertificate.com/ и нажмите «Создать». Убедитесь, что введенный вами адрес совпадает с используемым для доступа к NAS.

* Некоторые браузеры могут автоматически считать IP-адрес небезопасным и по-прежнему отображать предупреждающее сообщение.

Введите IP-адрес или имя хоста сервера QNAP NAS.

Введите IP-адрес или имя хоста сервера QNAP NAS

Загрузите файлы .key и .cert.

4. Установление безопасного соединения

4.1. Настройте QNAP NAS для использования безопасных соединений

Выполнение вышеуказанных шагов создаст новый файл с именем device.crt с помощью ключа device.key, после чего вы сможете скачать файлы address.cert и address.key с сайта www.selfsignedcertificate.com , Теперь передайте содержимое файлов .crt (или .cert) и .key на NAS-устройство QNAP. Откройте эти файлы в Блокноте (или любом другом текстовом редакторе) *, войдите на NAS, перейдите в Панель управления> Безопасность> Сертификат и закрытый ключ, скопируйте все файлы ключей и сертификатов в соответствующие поля и нажмите Применить.

* Не используйте Microsoft Word, чтобы открыть файл. Не используйте Text Wrap в текстовом редакторе.

Эти файлы создаются или загружаются после завершения вышеуказанного процесса. Откройте их с помощью Блокнота или другого текстового редактора.

Откройте их с помощью Блокнота или другого текстового редактора

Скопируйте содержимое файла ключа и сертификата и вставьте его в поле «Сертификат» и закрытый ключ на панели управления.

Скопируйте содержимое файла ключа и сертификата и вставьте его в поле «Сертификат» и закрытый ключ на панели управления

Чтобы передать вставленный ключ и данные сертификата, нажмите Применить.

Чтобы передать вставленный ключ и данные сертификата, нажмите Применить

Статус в разделе «Сертификат и закрытый ключ» изменится с использования настроек по умолчанию на «Использовать переданный защищенный сертификат».

Перейдите в Панель управления> Приложения> Веб-сервер и выберите Включить безопасное соединение (HTTPS).

После применения сертификата включите безопасное соединение с данным веб-сервером.

5. Использование безопасных соединений

5.1. Сохраните корневой сертификат на своих устройствах и создайте безопасное соединение с NAS.

Для корневых сертификатов, созданных с использованием OpenSSL, переименуйте rootCA.pem в rootCA.crt *. Для сертификатов, созданных на сайте www.selfsignedcertificate.com измените имя address.cert на address.crt. Затем отправьте файл с измененным именем на устройство, которое будет иметь доступ к NAS, и откройте его.

* Эта операция может не требоваться в некоторых операционных системах. Другие методы могут использовать другие методы для импорта сертификатов.

Когда вы импортируете сертификат в Windows, информация о сертификате будет отображаться для подтверждения пользователем. Нажмите Установить сертификат, чтобы сохранить его на своем компьютере. При появлении запроса о расположении хранилища сертификатов выберите доверенный корневой центр сертификации. Прежде чем вы закончите, Windows может попросить вас подтвердить его происхождение. Поскольку сертификат был создан вами, нажмите Да. После установки ваш браузер должен начать использовать этот сертификат *.

* Internet Explorer и Edge будут использовать эти сертификаты по умолчанию. Другие браузеры будут использовать другие методы для хранения корневых сертификатов, и вам придется настраивать их вручную.

Импортируйте rootCA.crt на свои компьютеры, которые будут обращаться к серверу QNAP NAS.

Чтобы изменения вступили в силу, закройте и снова откройте браузеры. В адресной строке введите https: // (IP-адрес или имя хоста NAS) :( безопасный порт), чтобы войти в NAS. Браузер отображает сообщение о сертификате, который подтверждает, что NAS был идентифицирован и что соединение безопасно.

После проверки браузер правильно идентифицирует ваш сайт и подтвердит безопасность соединения.

6. Выдача и управление сертификатами NAS Центром сертификации в Windows Server

Если вы управляете несколькими устройствами с помощью Windows Server Active Directory, вы можете создать корневой сертификат с помощью Windows Server и подписать запрос сертификата сервера QNAP NAS. Для этого сначала установите средства управления центрами сертификации на Windows Server. В этом примере мы будем использовать Windows Server 2012.

В этом примере мы будем использовать Windows Server 2012

Инструменты управления центрами сертификации можно найти в разделе «Добавление ролей и функций».

После установки инструментов управления центром сертификации вы найдете новый пункт («UC AD») в меню в левой части диспетчера сервера. Это означает службы сертификации Active Directory. В разделе UC AD вы должны настроить корневой сертификат для вашей сети. Вы можете использовать мастер для создания нового корневого сертификата с помощью Windows Server или выбрать существующий корневой сертификат.

Диспетчер сервера уведомит вас о необходимости настроить службы сертификатов Active Directory для сервера.

Диспетчер сервера уведомит вас о необходимости настроить службы сертификатов Active Directory для сервера

Следуйте инструкциям мастера для настройки корневого сертификата. Вы можете создать новый корневой сертификат или использовать существующий закрытый ключ. В этом примере мы создаем новый закрытый ключ.

В этом примере мы создаем новый закрытый ключ

Подтвердите настройки после завершения всех параметров. В зависимости от требований, связанных с использованием, вы можете выбрать различные варианты.

После завершения настройки сервер сможет подписать сертификат. Чтобы использовать корневой сертификат для подписи QNAP NAS, смотрите раздел 3.2, чтобы создать файл сертификата .csr. После создания CSR-файла найдите центр сертификации в меню «Инструменты диспетчера сервера».

Расположение функции центра сертификации.

В разделе Центр сертификации вы можете управлять сертификатами, которые были подписаны и выпущены вашим сервером. Чтобы подписать сертификат сервера NAS, щелкните правой кнопкой мыши свой сервер, выберите «Все задачи»> «Отправить новый запрос» и найдите файл .csr, который содержит IP-адрес или имя хоста вашего сервера QNAP NAS *. В разделе «Ожидающие запросы» найдите ранее отправленный запрос и нажмите на него, чтобы выдать сертификат.

* Существуют и другие способы создания CSR-файла для NAS QNAP без использования командной строки OpenSSL. Например, вы можете использовать этот сайт: https://www.gogetssl.com/online-csr-generator/

com/online-csr-generator/

Отправьте новый запрос сертификата для вашего NAS.

Отправьте новый запрос сертификата для вашего NAS

Найдите файл .csr, созданный для вашего NAS с помощью OpenSSL.

csr, созданный для вашего NAS с помощью OpenSSL

Выдать сертификат.

После выдачи сертификата выберите его в разделе «Выданные сертификаты» и экспортируйте его в файл, чтобы переслать его содержимое на сервер QNAP NAS вместе с закрытым ключом (см. Главу 4.1). Ваш NAS будет использовать сертификат, выданный Windows Server.

Откройте раздел Сертификаты и выберите опцию Копировать в файл при отображении выданного сертификата.

Откройте раздел Сертификаты и выберите опцию Копировать в файл при отображении выданного сертификата

Выберите параметр «Сертификат X.509», зашифрованный с помощью алгоритма Base-64 (.CER), чтобы вы могли открыть файл в Блокноте на Windows Server.

CER), чтобы вы могли открыть файл в Блокноте на Windows Server

После выполнения инструкций в разделе 4.1, касающихся передачи сертификата и ключа на сервер NAS, ваш NAS будет использовать сертификат, выданный Windows Server.

Похожие

Беспроводные решения в IP-мониторинге
Точка подключения - точка Это самый простой вариант, который позволяет отправлять видео с камер в удаленном месте на рекордер. Здесь чаще всего используются интегрированные решения или наборы, состоящие из точки доступа и направленной антенны (панель, парабола, сетка). Примером является Ubiquiti Loco M5 , Это небольшая дискретная точка доступа, интегрированная с антенной 13 дБи,
Обзор жесткого диска Seagate IronWolf 4TB NAS
В 2016 году компания Seagate полностью переименовала свою линейку жестких дисков, представив каждый из своих специальных накопителей как один из серии Guardian. барракуда диски для повседневных вычислений, SkyHawk диски для систем наблюдения и, наконец, IronWolf
NICKIS.com
... для покупок роскошной детской одежды и дизайнер детская одежда . Благодаря уникальному редактированию устоявшихся и появляющихся детей модные бренды Вы найдете вдохновляющий выбор новый сезон дизайнерская детская одежда, обувь ,
Трейдеры Deutsche Bank заработали на проблемах Турции, что вызвало спад прежде всего на так называемых развиваю...
Трейдеры Deutsche Bank заработали на проблемах Турции, что вызвало спад прежде всего на так называемых развивающихся рынках. Это то, что говорит Блумберг со ссылкой на свои источники.
ИИ в правительстве: могут ли компьютеры действительно хорошо принимать решения?
... кептически относитесь к способности машин эффективно помогать принятию решений в области социальных наук? Машины становятся все более интеллектуальными, все более способными помогать людям принимать решения по всему спектру социальных наук, но когнитивные вычисления все еще находятся в зачаточном состоянии, и впереди еще много неисследованных областей. Соответственно, правительственные лидеры, которые используют мощь когнитивных вычислений, помогают вступить в
Поддельное телевидение UHD с слишком малым количеством субпикселей
введение В настоящее время на рынке появились новые ЖК-телевизоры с уменьшенным числом субпикселей. Они злят клиентов и наносят ущерб триумфальному прогрессу UHD разрешение , Я хотел бы сослаться на эту статью об обстоятельствах и просвещении. Как работают пиксели Один пиксель телевизора или монитора должен не только светиться в зависимости от его яркости в сигнале, но и давать желаемый цвет. Компьютерные
Окна Atlas и Двери: Виниловые Окна Orange County, Виниловые Сменные Окна
Виниловые окна, обслуживающие Orange County, CA. Добро пожаловать в Atlas Windows and Doors, ваш первый выбор для замены виниловых окон и дверей премиум-класса. С гордостью выступаю в округе Ориндж, округе Лос-Анджелес, округе Риверсайд и округе Сан-Диего, штат Калифорния. Удобно базируясь в Коста-Меса, штат Калифорния, и предлагая наши услуги на всей территории Южной Америки, это была большая привилегия, предлагая наши первоклассные сменные окна и двери, а также наши
Blackview HERO1
... для 2-дюймового ЖК-экрана HD. Модуль WIFI Модуль WIFI позволяет управлять Blackview HERO1 с помощью смартфона или планшета. Специальное приложение облегчает публикацию фотографий в социальных сетях. Двухчасовое рабочее время Аккумулятор емкостью 1050 мАч обеспечивает 120 минут работы
РНК-Seq атлас экспрессии генов в нормальных тканях мыши и крысы
Изучение животных Самцов крыс линии Wistar Han (Crl: WI (Han)) и мышей BL / 6J (C57BL / 6J) получали от Charles River Laboratories (Германия). Протоколы экспериментов, касающихся использования лабораторных животных, были рассмотрены Федеральным этическим комитетом Германии и одобрены государственными органами Германии. Животных содержали в группах по три человека в 12-часовом цикле свет / темнота и кормили ad libitum стандартной гранулированной диетой для грызунов (диета № 3438, Provimi
Старший тест для смартфонов и сравнение 2019
... ся на мобильные телефоны пожилых людей и смартфоны пожилых людей. Телефоны имеют элементарные функции, такие как телефонные звонки, обмен текстовыми сообщениями и экстренные вызовы. Смартфон для пожилых людей, с другой стороны, может управляться через сенсорный экран и синхронизироваться через различные приложения. Старший сотовый телефон предлагает пользователю большие клавиши, которые легко распознать даже при ограниченном зрении. Старший смартфон может быть снабжен
Как записать гитару на ПК, ноутбуке, iPad или Mac
Один из наиболее часто задаваемых вопросов - как записать гитару на ПК, ноутбуке, iPad или Mac. Как вы записываете лучший, самый привлекательный звук гитары? В этом посте я начну с изучения основных способов запиши свою электрогитару на вашем компьютере, а затем перейти к тому, как запиши свою акустическую гитару. , Но прежде чем мы начнем. Чтобы получить идеальную запись на гитаре, вам
Как купить SSL-сертификаты myQNAPcloud и использовать их?
2.1. Что такое SSL?
Aspx?
ИИ в правительстве: могут ли компьютеры действительно хорошо принимать решения?
?кептически относитесь к способности машин эффективно помогать принятию решений в области социальных наук?
Как вы записываете лучший, самый привлекательный звук гитары?
Новости