Certifikát

Certifikát slouží k zabezpečení služeb SSL zařízení DiskStation, například web (všechny služby HTTPS), e-mail nebo FTP. Certifikát umožňuje uživatelům ověřit totožnost serveru a správce ještě před zahájením odesílání důvěrných informací.

V části Ovládací panel > Zabezpečení > Certifikát je možné provádět tyto úkony:

Získat certifikáty ze služby Let's Encrypt.
Vytvářet certifikáty podepsané držitelem.
Vytvářet žádosti o podpis certifikátu jiným certifikačním autoritám (CA).
Podepisovat žádosti o podpis certifikátu od jiných žadatelů
Spravovat certifikáty na zařízení DiskStation.

Poznámka:

Od verze DSM 6.0 je možné na zařízení DiskStation vytvořit a importovat více certifikátů.
Jestliže kliknete na možnost Nastavit jako výchozí certifikát, bude se zpracovávaný certifikát používat jako výchozí certifikát. Původní výchozí certifikát přijde o svůj výchozí status.

Certifikáty ze služby Let's Encrypt

Získání certifikátů ze služby Let's Encrypt:

Certifikáty SSL/TLS je možné bezplatně a bezpečně získávat od služby Let's Encrypt, otevřené a důvěryhodné certifikační autority.

Klikněte na možnost Přidat.
Vyberte možnost Přidat nový certifikát a klikněte na možnost Další
Vyberte možnost Získat certifikát ze služby Let's Encrypt.
Zadejte následující informace:
- Název domény: Zadejte doménu, kterou jste zaregistrovali u poskytovatele domén.
- E-mail: Zadejte e-mailovou adresu použitou při registraci certifikátu.
- Alternativní název předmětu: Aby bylo možné jedním certifikátem pokrýt více domén, zadejte zde názvy ostatních domén.
Nastavení uložíte kliknutím na možnost Použít. Po potvrzení se certifikát okamžitě importuje do zařízení DiskStation.

Poznámka:

Certifikáty ze služby Let's Encrypt je možné zaregistrovat pouze s omezeným počtem e-mailových účtů. Jestliže se tento limit překročí, použijte k získání dalších certifikátů dříve zaregistrovaný e-mailový účet.
Ve službě Let's Encrypt je možné pro jednu doménu zaregistrovat pouze omezený počet certifikátů. Jestliže je tento limit překročen, zadejte současný název domény jako Alternativní název předmětu (SAN) a pro žádost o certifikát použijte jiný název domény.
Služba Let's Encrypt provede před vydáním certifikátů pro vaše domény ověření domény. Ověřte, zda mají vaše zařízení DiskStation a směrovač otevřený port 80, určený k ověření domény z internetu. Veškerá ostatní komunikace se službou Let's Encrypt probíhá přes protokol HTTPS a zařízení DiskStation je tak v bezpečí.
Certifikáty vydané službou Let's Encrypt jsou platné po dobu 90 dní. Před vypršením platnosti certifikátů systém DSM tyto certifikáty po úspěšném ověření domény automaticky obnoví. Ověřte, zda mají zařízení DiskStation a směrovač otevřený port 80, určený k obnovování certifikátů.

Certifikáty podepsané držitelem

Pojem „certifikát podepsaný držitelem“ označuje certifikát, který byl vytvořen a podepsán stejným subjektem, jehož totožnost se v rámci certifikátu ověřuje (v tomto případě se jedná o zařízení DiskStation). Certifikáty podepsané držitelem jsou podepsány soukromým klíčem, který byl vygenerován zařízením DiskStation. Vzhledem k tomu, že certifikáty podepsané držitelem nebyly vydány certifikačními autoritami třetích stran, nepředstavují dostatečný důkaz totožnosti serveru a používají se obvykle pro zabezpečení spojení mezi serverem a skupinou známých uživatelů.

Vytvoření certifikátu podepsaného držitelem:

Klikněte na možnost Přidat.
Vyberte možnost Přidat nový certifikát a klikněte na možnost Další
Vyberte možnost Vytvořit certifikát podepsaný držitelem.
Postupujte podle pokynů průvodce nastavením.

Žádosti o podpis certifikátu (CSR)

Kromě certifikátů vydaných službou Let's Encrypt a certifikátů podepsaných držitelem je možné požádat také o certifikáty od dalších komerčních nebo jiných certifikačních autorit. Při získání certifikátu může být potřeba udělat dvě níže uvedené věci:

Vytvoření žádosti o podpis certifikátu (CSR): Šifrovaný text vygenerovaný zařízením DiskStation, který obsahuje informace, jež budou součástí certifikátu. Mezi tyto informace patří název domény, název organizace, obecný popis oblasti a e-mailová adresa.
Sdělte certifikační autoritě údaje o totožnosti své osoby či organizace a dokažte, že jste majiteli názvu domény, která byla zadaná do pole společného názvu žádost o podpis certifikátu.

Vytvoření žádostí o podpis certifikátu:

Klikněte na možnost CSR.
Vyberte možnost Vytvořit žádost o podpis certifikátu (CSR).
Žádost o podpis certifikátu vytvořte a stáhněte podle pokynů průvodce nastavením.
Odešlete žádost CSR a požadované informace certifikační autoritě, aby je potvrdila.

Po obdržení požadovaného certifikátu vydaného certifikační autoritou je možné ho společně se soukromým klíčem naimportovat.

Poznámka:

Společně s žádostí o podpis certifikátu se vygeneruje také soukromý klíč. Certifikační autority tento soukromý klíč nepotřebují. Tento soukromý klíč pro zařízení DiskStation uschovejte na bezpečném místě.

Podepsání žádosti o podpis certifikátu:

Uživatelé jiných zařízení posílat mohou žádosti o podpis certifikátu, aby získali přístup k vašemu zařízení DiskStation. Tyto žádosti je možné podepsat pomocí kořenového certifikátu zařízení DiskStation a vygenerované certifikáty odeslat žadatelům.

Klikněte na možnost CSR.
Klikněte na možnost Podepsat žádost o podpis certifikátu (CSR).
Odešlete žádost o podpis certifikátu a zadejte příslušné údaje.
Klikněte na možnost Další. Systém podepíše žádost o certifikát a vytvoří příslušný certifikát.

Správa certifikátů

Import certifikátů:

Aby bylo zařízení DiskStation pro jiná zařízení důvěryhodné, je možné importovat dříve exportovaný certifikát nebo certifikát od komerční nebo jiné certifikační autority spolu se soukromým klíčem.

Klikněte na možnost Přidat.
Vyberte možnost Přidat nový certifikát a klikněte na možnost Importovat certifikát
Podle pokynů průvodce dokončete import certifikátu.

Poznámka:

Některé certifikáty vydané certifikační autoritou vyžadují zprostředkující certifikáty.
Certifikáty musí mít formát X.509 PEM.
Soukromé klíče musí mít formát RSA a nesmí být chráněny přístupovým heslem.

Export certifikátů:

Stávající certifikáty je možné za účelem správy či archivace stáhnout a importovat do zařízení jiných uživatelů, aby se tak vytvořila důvěryhodnost mezi vaším zařízením DiskStation a jejich zařízeními. Exportovaný soubor obsahuje certifikát, soukromý klíč a kořenový certifikát zařízení DiskStation podepsaný svým držitelem.

Vyberte požadovaný certifikát.
Klikněte na možnost Exportovat certifikát.

Obnovení certifikátů:

Pokud se blíží datum skončení platnosti certifikátu, lze certifikát pomocí této možnosti obnovit.

Klikněte na možnost CSR.
Vyberte možnost Obnovit certifikát a klikněte na možnost Další
Stáhněte vygenerovaný soukromý klíč a žádost o podpis certifikátu.
Odešlete žádost CSR o obnovený certifikát požadované certifikační autoritě.

Náhrada certifikátů:

Pokud nechcete používat stávající certifikáty, můžete je vyměnit za náhradní certifikáty.

Klikněte na možnost Přidat.
Vyberte možnost Nahradit stávající certifikát a v rozevírací nabídce vyberte nežádoucí certifikát.
Dokončete náhradu certifikátu podle pokynů průvodce.

Úprava certifikátů:

Je možné upravovat popis certifikátu nebo nastavit jako výchozí jiný certifikát.

Vyberte požadovaný certifikát.
Po kliknutí na možnost Edit budete moci provést některý z uvedených úkonů:
- Změnit popis certifikátu a kliknout na možnost OK.
- Volbou Nastavit jako výchozí certifikát mu přiřadíte výchozí status. Klikněte na možnost Použít.

Konfigurace certifikátů:

Certifikát pro službu je možné vyměnit za jiný certifikát, který vyhovuje vašim potřebám.

Kliknutím na možnost Konfigurovat zobrazíte všechny služby a odpovídající certifikáty.
Klikněte na současný certifikát cílové služby.
V rozevírací nabídce vyberte příslušný certifikát.
Klikněte na možnost OK.

Poznámka:

Pro připojení, které není uvedeno v seznamu služby, bude platit výchozí certifikát systému.

Odstranění certifikátů:

Vyberte nežádoucí certifikát.
Odstranění certifikátu dokončete kliknutím na možnost Odstranit.

Poznámka:

Výchozí certifikát není možné odstranit.
Jestliže odstraníte jiný než výchozí certifikát, převezme odpovídající služby výchozí certifikát. Dávejte pozor, protože výchozí certifikát nemusí být s těmito službami zcela kompatibilní.