Jak nastavit HTTPS na Synology NAS pomocí SSL certifikátu

Jak nastavit HTTPS pro vlastní hostname na NASech Synology?

  1. Zápis doménového jména (hostname) do souboru hosts
  2. Vytvoření SSL certifikátu v prostředí Synology DSM
  3. Import certifikátu do počítače mezi důvěryhodné kořenové certifikační autority

Určitě to dobře znáte. V prohlížeči Chrome: NET::ERR_CERT_AUTHORITY_INVALID

NET::ERR_CERT_AUTHORITY_INVALID

V prohlížeči Firefox: sec_error_unknown_issuer

sec_error_unknown_issuer

Jak se této otravné hlášky zbavit, když chcete pro přístup k DSM využívat doménové jméno místo IP adresy?

Příklad:
DSM vašeho Synology NASu se nachází na https://192.168.0.5:5001 ale vy ho chcete mít dostupné na https://nasik:5001

Nejdříve si musíte vytvořit doménové jméno (hostname) k vašemu NASu. V prostředí Windows stačí editovat soubor

C:\Windows\System32\drivers\etc\hosts

Na samostatný řádek napíšeme:

  1. IP adresu NASu v lokální síti (192.168.0.5),
    Můžete i přidat veřejnou IP adresu (123.123.123.123 – získáte ji např. zde: https://www.whatismyip.com/) pro přístup k NASu odkudkoliv (pozor na firewall!)
  2. vámi zvolené libovolné doménové jméno (nasik)
  3. Za mřížku # si pak můžete napsat komentář.

Pozor, některé antivirové programy tento soubor chrání proti nežádoucímu zápisu, proto si ověřte uložení provedených změn.

hosts

V Mac OS potom:

sudo vim /etc/hosts
Šipkou sjedete kurzorem až na poslední řádek. Zmáčknete „i“ jako insert, čím vám „vim“ umožní editovat soubor. Vložíte řádek:

192.168.0.5    nasik

Stisknete „Esc“ a „:wq“ (write, quit).

V prostředí NAS Synology DS214se, DSM 6.1

Ovládací panely > Zabezpečení > Certifikát > Přidat > Přidat nový certifikát > Vytvořit certifikát podepsaný držitelem (Zaškrtnout dole Nastavit jako výchozí certifikát)

#1

#2

#3
Běžný název: zadejte libovolný název certifikátu (ideálně jiný, než defaultní „synology.com“, abyste si certifikát poznali.

#4

Nezapomeňte do posledního řádku vypsat všechna doménová jména oddělená středníkem, která využíváte pro přístup k NASu (ať už z domácí sítě, či z internetu).

Příklad:
nasik;nas

(nasik pro lokální IP adresu, nas pro ve veřejnou IP adresu – obě adresy i doménový název musí být uveden v souboru hosts)

#5
Klikněte na „Konfigurovat“ a nastavte váš nový certifikát jako výchozí pro vámi zvolené služby:

#6 Exportovat certifikát

Naimportovat syno-ca-cert.pem do prohlížeče mezi „Důvěryhodné kořenové certifikační autority“.

Chrome: Nastavení > Ochrana soukromí a zabezpečení > Správa certifikátů > Důvěryhodné kořenové certifikační autority > Importovat > Vyberete z NASu vyexportovaný soubor syno-ca-cert.pem (certifikát není při výběru defaultně vidět – přepněte pole na „Všechny soubory“ a poté certifikát vyberte).

Firefox: Možnosti > Rozšířené > Certifikáty > Autority > Importovat

Restartovat prohlížeč pro přepsání změn! 

V prostředí Mac OS je import vygenerovaného certifikátu jednodušší. Stačí dvojklik na syno-ca-cert.pem a nastavit důvěryhodnost na „Vždy důvěřovat“

Certifikát se uloží do Klíčenky.

Do prohlížeče zadejte https://domena:port
Kde „domena“ je vámi zvolené doménové jméno a „port“ je HTTPS port na kterém běží DSM. (Synology má defaultně https port na 5001)

Obnovte stránku v prohlížeči a je to.

HTTPS

Pokud stále nic, zkuste restartovat celý PC.

Pozor, využívání doménového jména místo IP adresy vám bude fungovat jen z toho počítače, kde jste si upravili soubor hosts!

13 komentářů u „Jak nastavit HTTPS na Synology NAS pomocí SSL certifikátu“

  1. Prosím, prosím právě s tím bez úspěchu zápasím. Synology DS216j, DSM 6.1 – Potřeboval bych podrobný popis, jak vytvořit doménové jméno k NASu ve W10 a dopracovat se k https.

      1. Tak bohužel se to nepodařilo, stále hlásí Nezabezpečeno a přeškrtnuté https. Jaká doména se musí do nasu doplnit pro certifikát třetí strany ?

          1. Je tam několik tutoriálů. Všechny jsem odzkoušel a skejslo to na domainname, na doméně. Dokonce jsem si i doménu koupil, ale ohlásí chybu. Na helpdesk Synology jsem psal, ale poslali mně pouze odkaz na jejich tutoriály. Zkoušel jsem i přeinstalovas DSM. Prostě chce to doménu xxxxxx.xx třeba rihav.cz, kterou mám, ale musí mít asi taky nějaký certifikáty. Možná certifikát podepsaný třetí stranou, ale vše se točí okolo domény.

          2. Určitě není potřeba kupovat doménu. Do souboru hosts uveďte IP vašeho NASu a za něj libovolné doménové jméno, např.
            192.168.0.2 rihav

            Doménový název „rihav“ poté uveďte i při generování certifikátu, stejně jako jsem já volil doménové jméno „nasik“.
            Po vygenerování certifikátu a nahrání do prohlížeče poté zadejte do adresního řádku prohlížeče:
            https://rihav:5001
            Měl byste uvést i port pro HTTPS, defaultně jej má Synology na 5001, případně jiný, pokud jste ho změnil.

      2. Bohužel to nefachá. Napíšu do prohlížeče rivldata a jsem v NASu, ale při vyplňování certifikátu to hlásí chybu. Dal bych sem scan, ale nedaří se mně ho přetáhnout. Všechno se točí okolo tý podělaný domény.

  2. Prosil by som o presný popis ip adries či ide o adresu kde sa nachádza pristupujúci PC na internete alebo synology stanice
    a aké mená a či nie náhodou celé http://www.xxxxxxx.sk sa tam nepíše a ak áno tak kde a ako presne
    slovo nasík sa nachádza na viacerých miestach a nie vždy je jasé či je len názvom alebo sa použije pre prístup. kam sa má naimportovať certifikát napríklad pre operu a pre IE a atď.

    Ďakujem bojujem s tým aj ja

  3. Na základě častých dotazů jsem se rozhodl článek aktualizovat, neboť proces vytvoření certifikátu se v původní verzi DSM 5.2 trošku lišil od současné verze DSM 6.1.

    Přeinstaloval jsem celý NAS od základu a výše popsaný postup mi fungoval jak na MacOS, tak v prostředí Windows.

    Dejte mi v komentářích vědět, jestli funguje i vám.

  4. Ahoj, po importu certifikátu na počítač mi pomohl restrt celého počítače a už se web hlásí jako Zapezpečeno.

  5. ahoj, vo firefoxe to ide podla navodu ale ked nahodim certifikat do opery tak sa stale zobrazuje nedoveryhodna stranka. Nemalo by to fungovat aj v opere ?

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *