Instalación del certificado SSL/TLS en NAS Synology Logo Synology

En esta guía explicamos un procedimiento fácil de instalación del certificado SSL/TLS en tu NAS Synology, es decir, en general, en cualquier NAS o almacenamiento de red. El certificado se puede utilizar tanto para asegurar la administración, para la comunicación con NAS y transmisión de datos a NAS como para sus servicios web.

Procedimiento general de la puesta en marcha e instalación del certificado SSL en NAS

Para que el certificado SSL funcione necesita dos claves: la privada y la pública. La clave privada la generaremos antes de la solicitud del certificado (CSR); la clave pública la recibirá después la autoridad certificadora en tu CSR y la introducirá en el futuro certificado SSL.

La mayor dificultad de los NAS y dispositivos de red es la creación de la CSR request. No en todo dispositivo hay una guía para generar la CSR request y el dispositivo espera importación de un certificado SSL ya creado y de la clave privada.

Es posible generar la CSR request de diferentes formas y en el siguiente párrafo encontrará la más fácil de ellas.

Creación de la clave privada y la CSR request

La solicictud del certificado la puede generar de diferentes formas; siempre recomiendo generar la clave privada y la CSR en NAS o localmente; en ningún caso utilizar servicios web que generan la clave privada y CSR. En estos casos no puede estar seguro de que otra persona no disponga de la clave privada.

Creación de la clave privada y la CSR en OpenSSL

Si disponemos de un ordenador o servidor con Linux u otro sistema Unix estará en el sistema el programa OpenSSL. Con su ayuda crearemos la clave privada y CSR en dos pasos. La ventaja es que los datos se introducen de forma sinóptica, de manera que lo tenemos todo controlado. La salida tiene el formato Base64, ideal para nosotros, con la extensión PEM.

La creación de la clave privada y CSR en OpenSSL está descrita en el artículo  Principios del trabajo con OpenSSL: clave privada y CSR.

Creación de la clave privada en Windows

En el sistema operativo es también posible generar las claves privadas y CSR requests sin embargo, el sistema trabaja con sus formatos binarios, por lo común no compatibles con las SAN. No obstante, el formato binario de las claves es posible convertirlo en el formato de texto en OpenSSL. El procedimiento lo encontrará en el artículo SSL Certificate Export/Import Explained.

Creación de la clave pública en el propio NAS

Por último voy a presentar el procedimiento más adecuado desde el punto de vista de la seguridad, es decir, creación de la clave privada y la CSR en el propio NAS. Si tu NAS no dispone de un sistema operativo moderno que permite generar la CSR en una guía (véase el siguiente apartado) podemos generar la clave privada y la CSR en el servidor con la ayuda de OpenSSL.

El procedimiento es igual que en el párrafo de más arriba, la diferencia consiste solamente en la conexión a NAS. A NAS no nos conectaremos a través de la interfaz web sino a través de SSH o telnet. Un buen NAS debería soportar estos protocolos. OpenSSL está disponible también en NASech Synology.

Para SSH en Windows recomiendo el cliente PuTTY, con el cual te conectarás a NAS con el acceso SSH autorizado. 

Genera la clave privada mediante el comando 

openssl genrsa -nodes -out server.key 2048

Genera la CSR de la nueva clave privada mediante el comando

openssl req -new -key server.key -out server.csr

OpenSSL pedirá los datos para la CSR request. Es necesario completar al menos Common name, es decir, el dominio que vamos a utilizar para NAS (por ejemplo synology.pepe.es) y Country (por ejemplo ES). Introducimos a continuación la CSR request generada en la administración de SSLmarket..

Además de OpenSSL, Synology utiliza en sus NAS también Apache (para el servicio del servidor web) y por lo tanto, no solamente la generación de la CSR sino que también la configuración a través de SSH (manual) es igual que en nuestra guía  Instalación del certificado en Apache a través de SSH.

Instalación del certificado en la versión anterior de DSM

Las versiones anteriores del sistema DSM deberían permitir importar la clave y el certificado a NAS, aunque no es necesario generar la CSR con la ayuda de la guía.

Si este cuadro de diálogo no está en NAS un usuario avanzado puede encontrar la clave privada inicial y el certificado actual de NAS y reescribir estos archivos por un certificado nuevo. Después del reinicio debería funcionar el nuevo certificado. El certificado de NAS estará probablemente en la carpeta /usr/syno/etc/ssl o /usr/local/ssl/server.

NAS Synology con DSM 5.0

La sigla DSM significa el sistema operativo de los NAS de Synology, es decir, una interfaz gráfica en la cual gestionamos NAS y a través de la cual lo controlas en el navegador.

Autorización de HTTPS para la transmisión de datos y el servidor web

Antes de que se utilice el certificado SSL en NAS es por supuesto necesario autorizar el protocolo HTTPS, si este todavía no está autorizado en el dispositivo. Synology utiliza los certificados para dos objetivos: para la administración y transmisión de datos y también para un servidor web integrado, que puede utilizar HTTPS.

En la administración en inglés, la configuración de SSL para la administración y transmisión de datos configura en Main Menu > Control Panel > Network > DSM Settings. En la interfaz española la encontrará bajo Ovládací panel > Síť > Nastavení DSM.

synology: configuración de SSL para la administración
synology: configuración de SSL para la administración

En la administración en inglés, la configuración SSL para el servicio web se encuentra bajo Main Menu > Control Panel > Web Services, marcador HTTP Service, elegir Enable HTTPS connection y confirmar.

synology: configuración de SSL para las webs
synology: configuración de SSL para las webs

Instalación del certificado SSL en Synology

En la versión actual del sistema DSM 5.0 ya es posible generar la CSR mediante la guía. Después de que se finalice y genere la CSR, la request junto con la clave privada se guarda en tu ordenador. La CSR request la introducirás en la administración de SSLmarket y será utilizada para la emisión del certificado; la clave privada la subirás al importar NAS y será utilizada junto con el certificado.

Recomiendamos guardar la clave privada en la copia de seguridad, sin embargo, incluso si la pierde no hay problema: le volveremos a emitir el certificado gratis.

Conexión a NAS

Conéctese primero a NAS y después busque el menú Configuración y en él la opción Seguridad.

Acceder a NAS Synology
Acceder a NAS Synology
Busque el menú Configuración
Busque el menú Configuración
Abra la opción Seguridad
Abra la opción Seguridad

Generar la CSR en la guía

Si no genera la CSR antes lo puede hacer en una guía, que encontrará en  Panel de control > Seguridad > Certificado > Generar el certificado.  Allí puede generar la solicitud del certificado (CSR), introducir los datos que conoce, elegir la profundidad de bits de 2048 y generar la solicitud.

Cuadro de diálogo de la guía para generar la CSR
Cuadro de diálogo de la guía para generar la CSR

Después de que se genere la solicitud, la misma se guardará en su ordenador junto con la clave privada en un archivo ZIP. Puede guardar la clave privada en la copia de seguridad e importarla a continuación junto con el certificado SSL de SSLmarket.

Importación del certificado SSL y la clave privada

Si el certificado SSL ya está emitido lo podemos importar muy fácilmente. Esta opción se encontruentra bajo Seguridad > Certificado.

Synology: Posibilidad de importar el certificado
Synology: Posibilidad de importar el certificado

Después de hacer clic en importar, introduciremos cada una de las tres partes del certificado. Ya disponemos de la clave privada (según el procedimiento anteriormente mencionado), el certificado te lo envió en el archivo de texto SSLmarket.es y el “Certificado intermedio” lo encontramos en el mismo mensaje que el certificado nuevo. El término Certificado intermedio significa de acuerdo con Synology Certificado Intermediate de la autoridad, necesario para la credibilidad del certificado.

Cuadro de diálogo de la importación: elija claves, certificado y el certificado Intermediate
Cuadro de diálogo de la importación: elija claves, certificado y el certificado Intermediate

Certificado Intermediate (certificado intermedio) y la credibilidad

Si no lo importamos pueden aparecer problemas con un emisor desconocido del certificado (sobre todo en los teléfonos móviles) y el certificado SSL no será confiable.

Certificado no confiable
Certificado no confiable: falta el certificado intermedio

Finalización y reinicio de NAS

Después de que el certificado SSL sea introducido la parte web de NAS se reiniciará y después del reinicio va a utilizarse ya el nuevo certificado.

Información sobre cada una de las versiones de DSM

En la versión DSM 3.0 falta el archivo con la configuración  openssl.cnf, que debería estar colocado en  /usr/syno/ssl/openssl.cnf. 

Este problema se resuelve descargando el código base OpenSSL de http://www.openssl.org/source/ y extrayendo openssl.cnf de la carpeta /apps/ del archivo tar en la carpeta en tu Synology, por ejemplo /volume1/share/.

Cree la carpeta /usr/syno/ssl copíe en ella openssl.cnf:

mkdir /usr/syno/ssl/

cp /volume1/share/openssl.cnf /usr/syno/ssl/

A continuación crea un directorio provisional y le redirecciona a este directorio:

mkdir /usr/local/ssl cd /usr/local/ssl

En esta carpeta creará la clave privada y la CSR con OpenSSL de forma normal.