Loading...
X

Skapa ett självsignerat certifikat till Synology Diskstation med OpenSSL

Att köpa ett certifikat ifrån en Certificate authority (CA) är dyrt så för privata tjänster kan det vara värt att utfärda ett eget. Detta inlägg beskriver hur du skapar ett självsignerat certifikat till ditt (Network Attached Storage) NAS – i mitt fall Synology DS1813+ med DSM 5.1 under domänen fileshare.se.

Innan jag påbörjade arbetet med att byta certifikat fanns två problem med mitt dåvarande. För det första matchade inte fältet ”Common Name” host & domän (fileshare.se). För det andra saknades en extra flagga som behövs för att certifikatet skall kunna importeras till Android. Det resulterade i att jag t.ex. inte kunde använda adressboksprotokollet CardDav på telefonen till mitt NAS. Men låt oss nu gå till det praktiska!
När du är klar med guiden kommer det att finnas fem filer. Två filer för root-certifikatet och tre filer för tjänsten som skall laddas upp på Synology DiskStation.

ROOT

  • rootCA.key – privat nyckel. Lösenordsskyddad (signerar andra certifikat). Spara denna nyckeln på ett säkert ställe och håll lösenordet hemligt
  • rootCA.pem – publik nyckel. Självsignerat root-certifikat ett givet antal dagar. Installera detta i browsers/klienter

För varje tjänst (device)

  • device.key – privat nyckel för tjänsten
  • device.csr – Certificate Signing Request (innehåller information om vad certifikatet skall innehålla och den publika nyckeln)
  • device.crt – Det signerade certifikatet
  1. Ladda ner OpenSSLkommandotolken 1
    1. https://www.openssl.org/source/
    2. För Windows: https://www.openssl.org/about/binaries.html
  2. Öppna OpenSSL via kommandotolken som administratör
  3. Skapa en texfil med innehållet ” basicConstraints=CA:true” och namnet options.txt i samma mapp som openssl.exe. Detta är den extra flagga som Android kräver för att du skall kunna importera certifikatet till telefonen
  4. Generera den privata nyckeln för root i kommandotolken med kommandot

    openssl genrsa –des3 -out rootCA.key 2048

    synology_cmd2

    1. –des3 betyder att du vill lösenordsskydda nyckeln. Välj ett lösenord till den privata nyckeln när du blir uppmanad.
  5. Skapa den publika nyckeln och signera med kommandot

    openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem

    1. Fyll i information om din egen CA som du tycker att det passar
  6. Skapa en privat nyckel för ditt NAS med kommandot

    openssl genrsa -out synology.key 2048

  7. Skapa CSR med kommandot

    openssl req -new -key synology.key -out synology.csr

    1. Fyll i information om ditt NAS.
    2. OBS! ”Common Name” måste passa adressen på din domän (t.ex. test.se)
    3. Fyll inte i någon ”extra” information som t.ex. challenge
  8. Skapa signerat certifikat med kommandot

    openssl x509 -req -extfile options.txt -in synology.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out synology.crt -days 500

  9. Ladda upp filerna till ditt NAS
    1. Tips: Se till att du kommer åt DSM via http ifall någonting skulle fela med certifikatet och den säkra anslutningen (https)synology_keys

Länkar

Datacenter overlords – Creating your own ssl certificate authority
Digicert – SSL Certificate Checker
Left Brain Things – Creating and importing self-signed certificate to Android device
ssl.com – Understanding the Common Name
Synology

Lycka till!

One observation on “Skapa ett självsignerat certifikat till Synology Diskstation med OpenSSL
  1. Jonatan

    Den nya versionen av av DiskStation Manager 5.2 verkar inte gilla mitt certifikat! Så jag har tröttnat på krånglet och har köpt ett certifikat ifrån Comodo. Jag registrerade mig först på CAcert som verkar vara en seriös organisation men fastnade vid verifieringssteget då guiden inte godkände min vidaresändning av mail med DuoCircle …men nu har jag ett grönt lås i alla fall 🙂

     
    Reply

Leave Your Observation

E-postadressen publiceras inte. Obligatoriska fält är märkta *