Jak nastavit HTTPS na Synology NAS pomocí SSL certifikátu

Jak nastavit HTTPS pro vlastní hostname na NASech Synology?

  1. Zápis doménového jména (hostname) do souboru hosts
  2. Vytvoření SSL certifikátu v prostředí Synology DSM
  3. Import certifikátu do počítače mezi důvěryhodné kořenové certifikační autority

Určitě to dobře znáte. V prohlížeči Chrome: NET::ERR_CERT_AUTHORITY_INVALID

NET::ERR_CERT_AUTHORITY_INVALID

V prohlížeči Firefox: sec_error_unknown_issuer

sec_error_unknown_issuer

Jak se této otravné hlášky zbavit, když chcete pro přístup k DSM využívat doménové jméno místo IP adresy?

Příklad:
DSM vašeho Synology NASu se nachází na https://192.168.0.5:5001 ale vy ho chcete mít dostupné na https://nasik:5001

Nejdříve si musíte vytvořit doménové jméno (hostname) k vašemu NASu. V prostředí Windows stačí editovat soubor

C:\Windows\System32\drivers\etc\hosts

Na samostatný řádek napíšeme:

  1. IP adresu NASu v lokální síti (192.168.0.5),
    Můžete i přidat veřejnou IP adresu (123.123.123.123 – získáte ji např. zde: https://www.whatismyip.com/) pro přístup k NASu odkudkoliv (pozor na firewall!)
  2. vámi zvolené libovolné doménové jméno (nasik)
  3. Za mřížku # si pak můžete napsat komentář.

Pozor, některé antivirové programy tento soubor chrání proti nežádoucímu zápisu, proto si ověřte uložení provedených změn.

hosts

V Mac OS potom:

sudo vim /etc/hosts
Šipkou sjedete kurzorem až na poslední řádek. Zmáčknete „i“ jako insert, čím vám „vim“ umožní editovat soubor. Vložíte řádek:

192.168.0.5    nasik

Stisknete „Esc“ a „:wq“ (write, quit).

V prostředí NAS Synology DS214se, DSM 6.1

Ovládací panely > Zabezpečení > Certifikát > Přidat > Přidat nový certifikát > Vytvořit certifikát podepsaný držitelem (Zaškrtnout dole Nastavit jako výchozí certifikát)

#1

#2

#3
Běžný název: zadejte libovolný název certifikátu (ideálně jiný, než defaultní „synology.com“, abyste si certifikát poznali.

#4

Nezapomeňte do posledního řádku vypsat všechna doménová jména oddělená středníkem, která využíváte pro přístup k NASu (ať už z domácí sítě, či z internetu).

Příklad:
nasik;nas

(nasik pro lokální IP adresu, nas pro ve veřejnou IP adresu – obě adresy i doménový název musí být uveden v souboru hosts)

#5
Klikněte na „Konfigurovat“ a nastavte váš nový certifikát jako výchozí pro vámi zvolené služby:

#6 Exportovat certifikát

Naimportovat syno-ca-cert.pem do prohlížeče mezi „Důvěryhodné kořenové certifikační autority“.

Chrome: Nastavení > Ochrana soukromí a zabezpečení > Správa certifikátů > Důvěryhodné kořenové certifikační autority > Importovat > Vyberete z NASu vyexportovaný soubor syno-ca-cert.pem (certifikát není při výběru defaultně vidět – přepněte pole na „Všechny soubory“ a poté certifikát vyberte).

Firefox: Možnosti > Rozšířené > Certifikáty > Autority > Importovat

Restartovat prohlížeč pro přepsání změn! 

V prostředí Mac OS je import vygenerovaného certifikátu jednodušší. Stačí dvojklik na syno-ca-cert.pem a nastavit důvěryhodnost na „Vždy důvěřovat“

Certifikát se uloží do Klíčenky.

Do prohlížeče zadejte https://domena:port
Kde „domena“ je vámi zvolené doménové jméno a „port“ je HTTPS port na kterém běží DSM. (Synology má defaultně https port na 5001)

Obnovte stránku v prohlížeči a je to.

HTTPS

Pokud stále nic, zkuste restartovat celý PC.

Pozor, využívání doménového jména místo IP adresy vám bude fungovat jen z toho počítače, kde jste si upravili soubor hosts!

IPV4 to IPV6 Teredo Tunneling

Pokud potřebujete veřejnou IP adresu a nechcete platit několik desítek Kč měsíčně vašemu ISP za přidělení IPV4, pak ho zkuste požádat o přidělení IPV6. Samozřejmě za předpokladu, že to váš router zvládne.

Abyste mohli ke svému routeru či domácímu počítači v síti přistupovat odkudkoliv, budete na to muset připravit i svůj PC/Mac. V současné době nemůžeme vůbec mluvit o bezproblémové kompatibilitě mezi sítěmi IPV4 a IPV6. Zapomeňte, že budete schopni se zařízením v IPV4 ihned přistupovat k zařízení v IPV6. Abyste toho dosáhli potřebujete Teredo (pro PC), nebo Miredo (pro Mac/Linux a BSD).

Pro přístup k IPV6 zařízení ze sítě IPV4 v prostředí Windows budete potřebovat následující:

Od verze Windows XP (defaultně vypnuté) a vyšší má operační systém Windows zabudovanou podporou IPV6 skrze servery Microsoftu: teredo.ipv6.microsoft.com
Bohužel ty jsou umístěny v US a jejich funkčnost z Evropy je spíše spekulativní. Alternativou může být změna těchto serverů:

Otevřete příkazovou řádku jako správce a napište:

netsh
netsh> interface
netsh interface> teredo
netsh interface teredo> show state

Výstup bude zhruba následující:

Parametry služby Teredo
---------------------------------------------
Typ : client
Název serveru : teredo.ipv6.microsoft.com
Interval aktualizace klienta: 30 s
Port klienta : unspecified
Stav : offline
Chyba : překlad názvu serveru se nezdařil

Defaultně nastavené Teredo na server Microsoftu změníme:

netsh interface teredo> ..
netsh interface> ipv6
netsh interface ipv6> set teredo client teredo.remlab.net

Výstup bude zhruba následující:

OK.

Podíváme se, jestli se změna serveru opravdu projevila:

netsh interface ipv6> ..
netsh interface> teredo
netsh interface teredo> show state

Výstup bude zhruba následující:

Parametry služby Teredo

---------------------------------------------
Typ : client
Název serveru : teredo.remlab.net
Interval aktualizace klienta: 30 s
Port klienta : unspecified
Stav : dormant

A je to. Od teď můžete z IPV4 sítě přistupovat k zařízení v IPV6 síti.