Certificaat
U kunt een certificaat gebruiken als beveiliging van de SSL-services van de DiskStation, bijvoorbeeld voor internet (alle HTTPS-services), e-mail of FTP. Met een certificaat kunnen gebruikers de identiteit van een server en de administrator valideren alvorens vertrouwelijke informatie te verzenden.
In Configuratiescherm > Beveiliging > Certificaat kunt u het volgende doen:
- Certificaten ophalen van Let's Encrypt
- Een zelfondertekend certificaat maken
- Ondertekeningsverzoeken voor certificaten maken voor andere certificeringsinstanties (CA)
- Ondertekeningsverzoeken van andere aanvragers ondertekenen
- Uw certificaten beheren op uw DiskStation.
Opmerking:
- vanaf DSM 6.0 kunt u verschillende certificaten maken en importeren naar uw DiskStation.
- Als u op Instellen als standaardcertificaat certificeringsinstantie klikt, zal het certificaat dat wordt verwerkt als standaardcertificaat worden gebruikt. Het originele standaardcertificaat zal zijn standaardstatus verliezen.
Certificaten ophalen van Let's Encrypt
Om certificaten op te halen van Let's Encrypt:
U kunt automatisch kosteloze en veilige SSL/TLS-certificaten verkrijgen van Let's Encrypt, een open en vertrouwde certificeringsinsantie.
- Klik op Toevoegen.
- Selecteer Een nieuw certificaat toevoegen en klik op Volgende.
- Selecteer Krijg een certificaat van Let's Encrypt.
- Geef de volgende informatie op:
- Domeinnaam: voer de domeinnaam in die u hebt geregistreerd bij de domeinprovider.
- E-mail: voer het e-mailadres in dat gebruikt wordt voor certificaatregistratie.
- Onderwerp alternatieve naam: om toe te staan dat een certificaat meerdere domeinen dekt, voert u hier de andere domeinnamen in.
- Klik op Toepassen om de instellingen op te slaan. Na bevestiging zal het certificaat onmiddellijk geïmporteerd worden in uw DiskStation.
Opmerking:
- U kunt zich enkel registreren voor certificaten van Let's Encrypt met een beperkt aantal e-mailaccounts. Als die limiet wordt overschreden, moet u een eerder geregistreerde account gebruiken om meer certificaten op te halen.
- U kunt zich enkel registreren voor een beperkt aantal certificaten per domein van Let's Encrypt. Als die limiet wordt overschreden, voert u de huidige domeinnaam in als alternatieve naam voor onderwerp (NAS - Subject Alternative Name) en gebruikt u een andere domeinnaam voor een certificaatverzoek.
- Let's Encrypt zal een domeinvalidatie uitvoeren alvorens certificaten aan uw domeinen toe te wijzen. Vergewis u ervan dat poort 80 van uw DiskStation en router open staat voor domeinvalidatie via het Internet. Elke andere communicatie met Let's Encrypt gaat over HTTPS om uw DiskStation te beschermen.
- De door Let's Encrypt verstrekte certificaten hebben een geldigheid van 90 dagen. Voor dat de geldigheid van het certificaat vervalt, zal DSM automatisch dergelijke certificaten vernieuwen na een succesvolle domeinvalidatie. Vergewis u ervan dat poort 80 van uw DiskStation en router open staat om het certificaat te vernieuwen.
Zelfondertekende certificaten
Een zelfondertekend certificaat is een certificaat gemaakt en ondertekend door dezelfde entiteit wiens identiteit wordt gecertificeerd (in dit geval DiskStation). Zelfondertekende certificaten worden ondertekend met een persoonlijke sleutel die door DiskStation is gegenereerd. Omdat zelfondertekende certificaten niet door andere certificerende autoriteiten zijn uitgegeven, leveren zij minder bewijs van de identiteit van de server en worden ze meestal gebruikt ter beveiliging van kanalen tussen de server en een groep van bekende gebruikers.
Een zelfondertekend certificaat maken:
- Klik op Toevoegen.
- Selecteer Een nieuw certificaat toevoegen en klik op Volgende.
- Selecteer Een zelfondertekend certificaat aanmaken.
- Volg de instructies van de installatiewizard.
CSR's (Certificate Signing Requests)
Naast certificaten die zijn uitgegeven door Let's Encrypt en zelfondertekende certificaten, kunt u ook certificaten van andere commerciële of derde certificeringsinstanties aanvragen. Om een certificaat te bekomen, doet u de volgende twee dingen:
- Maak een CSR (Certificate Signing Request): een certificaataanvraag is een gecodeerde tekst gegenereerd door DiskStation met informatie die in uw certificaat zal worden opgenomen, zoals uw domeinnaam, naam van de organisatie, algemene locatie en e-mailadres.
- Bezorg uw eigen identificatiegegevens of die van een organisatie aan de certificeringsinstantie en toon aan dat u de eigenaar bent van de domeinnaam die werd ingevoerd in het naamsveld van het ondertekeningsverzoek voor het certificaat.
Om CSR's te maken:
- klik op CSR.
- Selecteer Een CSR (Certificate Signing Request) aanmaken.
- Volg de instructies van de installatiewizard om de certificaataanvraag te maken en te downloaden.
- Stuur de CSR en de vereiste informatie naar de certificeringsinstantie voor bevestiging.
Als u het gevraagde certificaat van de certificeringsinstantie hebt ontvangen, kunt u het samen met uw persoonlijk sleutel importeren.
Opmerking:
samen met de certificaataanvraag wordt ook een persoonlijke sleutel gegenereerd. Certificerende autoriteiten hebben deze persoonlijke sleutel niet nodig. Bewaar de persoonlijke sleutel van uw DiskStation op een veilige plaats en houd deze geheim.
CSR's (Certificate Signing Requests) ondertekenen:
Gebruikers van andere apparaten kunnen ondertekeningsverzoeken voor certificaten versturen om gecertificeerde toegang te krijgen tot uw DiskStation. U kunt hun verzoeken ondertekenen met behulp van het rootcertificaat van DiskStation en de gegenereerde certificaten naar de aanvragers versturen.
- klik op CSR.
- Klik op Een aanvraag voor certificaatondertekening (CSR) ondertekenen.
- Upload de aanvraag voor certificaatondertekening en voer de relevante gegevens in.
- Klik op Volgende en het systeem zal de certificaataanvraag ondertekenen en het desbetreffende certificaat maken.
Certificaatbeheer
Certificaten importeren:
U kunt een eerder geëxporteerd certificaat of een certificaat van een commerciële of derde certificeringsinstantie samen met de persoonlijke sleutel importeren opdat uw DiskStation door andere apparaten zou worden vertrouwd.
- Klik op Toevoegen.
- Selecteer Een nieuw certificaat toevoegen en klik op Certificaat importeren.
- Volg de wizardinstructies om het importeren van het certificaat te voltooien.
Opmerking:
- tussencertificaten zijn optioneel voor bepaalde door certificeringsinstanties uitgegeven certificaten.
- Certificaten moeten X.509 PEM-bestandsindeling hebben.
- Persoonlijke sleutels moeten de RSA-indeling hebben en mogen niet door een wachtwoordzin worden beschermd.
Certificaten exporteren:
Bestaande certificaten kunnen voor beheer of archiveringsdoeleinden worden gedownload. Ze kunnen tevens worden geïmporteerd naar apparaten van andere gebruikers om vertrouwen te bouwen tussen hun apparaten en uw DiskStation. Het geëxporteerde bestand bevat het certificaat, de persoonlijke sleutel en het zelfondertekende basiscertificaat van DiskStation.
- Selecteer het gewenste certificaat.
- Klik op Certificaat exporteren.
Certificaten vernieuwen:
Wanneer de geldigheid van het certificaat bijna vervalt, kunt u het certificaat met deze optie verlengen.
- klik op CSR.
- Selecteer Certificaat vernieuwen en klik op Volgende.
- Download de gegenereerde persoonlijke sleutel en het ondertekeningsverzoek.
- Stuur de CSR naar de gewenste certificeringsinstantie voor een vernieuwd certificaat.
Certificaten vervangen:
Als u geen bestaande certificaten wilt gebruiken, kunt u ze vervangen door alternatieve certificaten.
- Klik op Toevoegen.
- Selecteer in de vervolgkeuzelijst Een bestaand certificaat vervangen en het ongewenste certificaat.
- Volg de wizardinstructies om de vervanging van het certificaat te voltooien.
Certificaten bewerken:
u kutn certificaatbeschrijving bewerken of een ander certificaat instellen als standaardcertificaat.
- Selecteer het gewenste certificaat.
- Klik op Bewerken en doe een van de volgende dingen:
- wijzig de beschrijving van het certificaat en klik op OK.
- Selecteer Instellen als standaardcertificaat om het standaardstatus toe te kennen en klik op Toepassen.
Om certificaten te configureren:
u kunt desgewenst een certificaat voor een service wijzigen in een ander certificaat.
- Klik op Configureren om alle services en de overeenkomstige certificaten te tonen.
- Klik op het huidige certificaat van de geviseerde service.
- Selecteer het juiste certificaat uit de vervolgkeuzelijst.
- Klik op OK.
Opmerking:
- het certificaat Systeemstandaard is van toepassing op de verbinding die niet in de servicelijst staat.
Certificaten verwijderen:
- Selecteer het ongewenste certificaat.
- Klik op Verwijderen om het certificaat te verwijderen.
Opmerking:
- het is niet mogelijk om het standaardcertificaat te verwijderen.
- Als u een niet-standaardcertificaat verwijdert, zal het standaardcertificaat de overeenkomstige diensten overnemen. Opgelet, want het standaardcertificaat is mogelijk niet compatibel met deze diensten.