Instalace SSL/TLS certifikátu na NAS Synology Logo Synology

In queste istruzioni scoprirai una procedura facile per installare il certificato SSL/TLS sul tuo NAS Synology, eventualmente su un qualsiasi NAS in genere o in uno storage di rete. Il certificato ti servirà per proteggere l'amministrazione, la comunicazione con NAS, la trasmissione dei dati su NAS e anche i suoi servizi web.

Procedura generale per avviare e installare il certificato SSL su NAS

Per il funzionamento del certificato SSL ti servono due chiavi: quella privata e quella pubblica. La chiave privata la crei precedentemente alla creazione della richiesta di certificato (CSR); l'autorità di certificazione riceverà poi la tua chiave pubblica nella tua richiesta di CSR e la inserirà nel futuro certificato SSL.

Il maggiore problema dei NAS e dei dispositivi di rete sta nella creazione della domanda di CSR. Un dispositivo può anche non comprendere la procedura guidata per la creazione della richiesta CSR e prevedere l'importazione in esso del certificato SSL già pronto e della chiave privata.

Ci sono diverse modalità di creare la richiesta CSR; nel paragrafo successivo scoprirai quella più facile.

Creazione della chiave privata e della richiesta CSR

Puoi creare una richiesta di certificato in diversi modi: ti consigliamo di creare sempre la chiave privata e la CSR su NAS o localmente e di non usare, in nessun caso, i servizi web che generano la chiave privata e la CSR. Con tali servizi non hai mai la certezza che nessun altro abbia accesso alla chiave privata.

Creazione della chiave privata e della CSR in OpenSSL

Se lavori con un computer o un server con Linux o un altro sistema Unix, nel sistema sarà presente il programma OpenSSL. Utilizzandolo, potrai creare la chiave privata e la CSR in due passaggi. Il vantaggio sta nel fatto che hai sotto controllo tutti i dati inseriti. L'output ha il formato ideale di Base64 con il suffisso PEM.

Creazione della chiave privata in Windows

Creare le chiavi private e le richieste CSR è possibile anche nel sistema operativo Windows ma questo sistema opera con i loro formati binari con i quali i SAN generalmente non vanno d'accordo. Il formato binario delle chiavi può però essere convertito in formato di testo in OpenSSL.

Creazione della chiave privata direttamente su NAS

Come ultimo riportiamo qui la variante più adatta dal punto di vista della sicurezza, ovvero la creazione della chiave privata e della CSR direttamente su NAS. Se il tuo NAS non dispone di un sistema operativo moderno che consenta di creare la CSR con la procedura guidata (vedi la sezione più avanti), puoi creare la chiave privata e la CSR sul server utilizzando OpenSSL.

La procedura è identica a quella riportata nel paragrafo precedente: la differenza sta soltanto nella modalità di collegamento con NAS. Con NAS non ti colleghi, in effetti, tramite l'interfaccia web ma tramite SSH oppure telnet. Un NAS di qualità dovrebbe supportare questi protocolli. OpenSSL è disponibile anche su NAS Synology.

Per SSH su Windows ti consigliamo il client PuTTY con cui ti colleghi al NAS con l'accesso SSH abilitato. 

Per creare la chiave privata usa il comando 

openssl genrsa -nodes -out server.key 2048

Per creare la CSR dalla nuova chiave privata usa il comando

openssl req -new -key server.key -out server.csr

OpenSSl ti chiederà i dati per la richiesta CSR. È necessario inserire, al minimo, Common name ovvero il dominio che userai su NAS (per esempio synology.domain.it), e Country (per esempio IT). Successivamente inserirai la richiesta CSR creata nell'amministrazione dell'SSLmarket.

Oltre a OpenSSL per i suoi NAS Synology usa anche Apache (per il servizio di server web): la creazione della CSR e anche l'impostazione (manuale) tramite SSH vengono effettuate seguendo le stesse istruzioni per l'Installazione del certificato su Apache tramite SSH.

Installazione del certificato nelle versioni meno recenti di DSM

Le versioni meno recenti di DMS dovrebbero consentire l'importazione della chiave e del certificato su NAS, anche se non necessariamente creano la richiesta di CSR tramite la procedura guidata.

Se tale dialogo non fosse disponibile su NAS, un utente avanzato può individuare la chiave privata di partenza e l'attuale certificato di NAS per trascrivere questi file utilizzando il nuovo certificato. Dopo il riavvio, il nuovo certificato dovrebbe essere operativo. Il certificato di NAS sarà posizionato, probabilmente, nella cartella /usr/syno/etc/ssl oppure /usr/local/ssl/server.

NAS Synology con DSM 7.0

L'abbreviazione DSM si usa per definire Synology, il sistema operativo dei NAS, ovvero l'interfaccia grafica nella quale viene gestita l'amministrazione del NAS e tramite la quale gestisci il NAS nel browser.

Installazione del certificato SSL su Synology

Nella versione attuale 7.0 del sistema DSM è già possibile creare la CSR usando la procedura guidata. Completata la procedura guidata e creata la CSR, la richiesta viene scaricata, insieme alla chiave privata, sul tuo computer. La richiesta di CSR che inserirai nell'amministrazione dell'SSLmarket, sarà usata per l'emissione del certificato; la chiave privata che caricherai durante l'importazione su NAS verrà utilizzata insieme al certificato.

Ti consigliamo di fare il backup della chiave privata in un luogo sicuro, anche se la sua perdita non comporta gravi problemi: ti rilasceremo nuovamente il certificato gratuitamente.

Collegamento con NAS

Fai login su NAS, poi seleziona il menu Impostazioni e la voce Protezione.

Trova il menu delle impostazioni
Trova il menu delle impostazioni
Apri il menu di sicurezza
Apri il menu di sicurezza

Creazione della CSR usando la procedura guidata

Se non avevi precedentemente creato la CSR, puoi farlo usando la procedura guidata che troverai in Panello di controllo > Protezioni > Certificato > Crea il certificato. Qui puoi creare la richiesta di certificato (CSR), inserire i dati ben noti, scegliere la profondità di 2048 bit e creare la richiesta.

synology - průvodce CSR
Finestra di dialogo Creazione guidata CSR

La richiesta creata sarà scaricata sul tuo computer insieme alla chiave privata in formato di archivio ZIP. Puoi fare il backup della chiave privata e successivamente importarla congiuntamente al certificato SSL dell'SSLmarket.

Importazione del certificato SSL e della chiave privata

Se il tuo certificato SSL è già stato emesso, lo puoi importare in modo molto facile. Troverai questa opzione in Protezione > Certificato.

Synology - Possibilità di importare un certificato
Synology - Possibilità di importare un certificato

Dopo aver cliccato su Importa, potrai inserire le tre singole parti del certificato. Possiedi già la chiave privata (la procedura indicata sopra), da SSLmarket.cz ti è stato recapitato il certificato in un file di testo, e troverai il certificato "Medio" nello stesso messaggio con cui ti è stato recapitato il nuovo certificato. Synology usa il termine "certificato medio" per indicare il certificato Intermediate dell'autorità che risulta indispensabile per l'affidabilità del certificato. 

Certificato Intermediate (certificato medio) e affidabilità

Se non l'avrai importato, verrà segnalato che l'emittente del certificato è sconosciuto (soprattutto sui cellulari) e il certificato SSL non sarà affidabile.

certificato SSL non attendibile
Certificato non attendibile: manca il certificato dell'autorità intermedia

Perfezionamento e riavvio di NAS

Inserito il certificato SSL, la parte web di NAS si riavvia e dopo il riavvio sarà possibile utilizzare il nuovo certificato.

Ti è stato utile questo articolo?