Certifikát

Certifikát slouží pro zabezpečení služeb SSL zařízení DiskStation, například služby web (všechny služby HTTPS), pošta nebo FTP. Certifikát umožňuje uživatelům ověřit identitu serveru a správce ještě před tím, než bude zahájeno odesílání důvěrných informací.

V části Ovládací panel > Zabezpečení > Certifikát je možné provádět tyto úkony:

Získat certifikáty ze služby Let's Encrypt.
Vytvářet certifikáty podepsané držitelem.
Vytvářet žádosti o podpis certifikátu jiným certifikačním autoritám (CA).
Podepisovat žádosti o podpis certifikátu od jiných žadatelů
Spravovat certifikáty na zařízení DiskStation.

Poznámka:

Od verze DSM 6.0 je možné na zařízení DiskStation vytvořit a importovat více certifikátů.
Jestliže kliknete na možnost Nastavit jako výchozí certifikát, bude se zpracovávaný certifikát používat jako výchozí certifikát. Původní výchozí certifikát přijde o svůj výchozí status.

Certifikáty ze služby Let's Encrypt

Získání certifikátů ze služby Let's Encrypt:

Certifikáty SSL/TLS je možné bezplatně a bezpečně získávat od služby Let's Encrypt, otevřené a důvěryhodné certifikační autority.

Klikněte na možnost Přidat.
Vyberte možnost Přidat nový certifikát a klikněte na možnost Další
Vyberte možnost Získat certifikát ze služby Let's Encrypt.
Zadejte následující informace:
- Název domény: Zadejte doménu, kterou jste zaregistrovali od poskytovatele domén.
- E-mail: Zadejte e-mailovou adresu použitou při registraci certifikátu.
- Alternativní název předmětu: Aby bylo možné pokrýt jedním certifikátem více domén, zadejte zde názvy ostatních domén.
Nastavení uložte kliknutím na možnost Použít. Po potvrzení se certifikát okamžitě importuje do zařízení DiskStation.

Poznámka:

Certifikáty ze služby Let's Encrypt je možné zaregistrovat pouze s omezeným počtem e-mailových účtů. Jestliže se tento limit překročí, použijte k získání dalších certifikátů dříve zaregistrovaný e-mailový účet.
Ve službě Let's Encrypt je možné pro jednu doménu zaregistrovat pouze omezený počet certifikátů. Jestliže je tento limit překročen, zadejte současný název domény jako Alternativní název předmětu (SAN) a pro žádost o certifikát použijte jiný název domény.
Služba Let's Encrypt provede před vydáním certifikátů pro vaše domény ověření domény. Ověřte, zda mají vaše zařízení DiskStation a směrovač otevřený port 80, určený k ověření domény z internetu. Veškerá ostatní komunikace se službou Let's Encrypt probíhá přes protokol HTTPS a zařízení DiskStation je tak v bezpečí.
Certifikáty vydané službou Let's Encrypt jsou platné po dobu 90 dní. Před vypršením platnosti certifikátů systém DSM tyto certifikáty po úspěšném ověření domény automaticky obnoví. Ověřte, zda mají zařízení DiskStation a směrovač otevřený port 80, určený k obnovování certifikátů.

Certifikáty podepsané držitelem

Pojem „certifikát podepsaný držitelem“ označuje certifikát, který byl vytvořen a podepsán stejným subjektem, jehož totožnost se v rámci certifikátu ověřuje (v tomto případě se jedná o zařízení DiskStation). Certifikáty podepsané držitelem jsou podepsány soukromým klíčem, který byl vygenerován zařízením DiskStation. Vzhledem k tomu, že certifikáty podepsané držitelem nebyly vydány certifikačními autoritami třetích stran, nepředstavují dostatečný důkaz identity serveru a používají se obvykle pro zabezpečení spojení mezi serverem a skupinou známých uživatelů.

Vytvoření certifikátu podepsaného držitelem:

Klikněte na možnost Přidat.
Vyberte možnost Přidat nový certifikát a klikněte na možnost Další
Vyberte možnost Vytvořit certifikát podepsaný držitelem.
Postupujte podle pokynů průvodce nastavením.

Žádosti o podpis certifikátu (CSR)

Kromě certifikátů vydaných službou Let's Encrypt a certifikátů podepsaných držitelem je možné požádat také o certifikáty od dalších komerčních nebo jiných certifikačních autorit. Při získání certifikátu může být potřeba udělat dvě níže uvedené věci:

Vytvoření žádosti o podpis certifikátu (CSR): Šifrovaný text vygenerovaný zařízením DiskStation, který obsahuje informace, jež budou součástí certifikátu, například název domény, název organizace, obecný popis oblasti a e-mailová adresa.
Sdělte certifikační autoritě údaje o totožnosti své osoby či organizace a dokažte, že jste majiteli názvu domény, která byla zadaná do pole společného názvu žádost o podpis certifikátu.

Vytvoření žádostí o podpis certifikátu:

Klikněte na možnost CSR.
Vyberte možnost Vytvořit žádost o podpis certifikátu (CSR).
Žádost o podpis certifikátu vytvoříte a stáhnete podle pokynů průvodce nastavením.
Odešlete žádost CSR a požadované informace certifikační autoritě, aby je potvrdila.

Když obdržíte požadovaný certifikát vydaný certifikační autoritou, můžete ho společně se svým soukromým klíčem naimportovat.

Poznámka:

Společně s žádostí o podpis certifikátu se vygeneruje také soukromý klíč. Certifikační autority tento privátní klíč nepotřebují. Tento soukromý klíč zařízení DiskStation uschovejte na bezpečném místě.

Podepsání žádosti o podpis certifikátu:

Aby získali přístup k vašemu zařízení DiskStation, mohou posílat uživatelé jiných zařízení žádosti o podpis certifikátu. Tyto žádosti je možné podepsat pomocí kořenového certifikátu zařízení DiskStation a vygenerované certifikáty odeslat žadatelům.

Klikněte na možnost CSR.
Klikněte na možnost Podepsat žádost o podpis certifikátu (CSR).
Odešlete žádost o podpis certifikátu a zadejte příslušné údaje.
Klikněte na možnost Další a systém podepíše žádost o certifikát a vytvoří příslušný certifikát.

Správa certifikátů

Import certifikátu:

Aby bylo vaše zařízení DiskStation důvěryhodné pro jiná zařízení, je možné importovat dříve exportovaný certifikát nebo certifikát od komerční nebo jiné certifikační autority spolu s privátním klíčem.

Klikněte na možnost Přidat.
Vyberte možnost Přidat nový certifikát a klikněte na možnost Importovat certifikát
Podle pokynů průvodce dokončete import certifikátu.

Poznámka:

Některé certifikáty vydané certifikační autoritou vyžadují zprostředkující certifikáty.
Certifikáty musí mít formát X.509 PEM.
Soukromé klíče musí mít formát RSA a nesmí být chráněny přístupovým heslem.

Export certifikátu:

Stávající certifikáty je možné za účelem správy či archivace stáhnout a importovat do zařízení jiných uživatelů, aby se tak vytvořila důvěryhodnost mezi vaším zařízením DiskStation a jejich zařízeními. Exportovaný soubor obsahuje certifikát, soukromý klíč a kořenový certifikát zařízení DiskStation podepsaný svým držitelem.

Vyberte požadovaný certifikát.
Klikněte na možnost Exportovat certifikát.

Obnovení certifikátů:

Pokud se blíží datum skončení platnosti certifikátu, lze certifikát pomocí této možnosti obnovit.

Klikněte na možnost CSR.
Vyberte možnost Obnovit certifikát a klikněte na možnost Další
Stáhněte vygenerovaný soukromý klíč a žádost o podpis certifikátu.
Odešlete žádost CSR o obnovený certifikát požadované certifikační autoritě.

Náhrada certifikátů:

Pokud nechcete používat stávající certifikáty, můžete je vyměnit za náhradní certifikáty.

Klikněte na možnost Přidat.
Vyberte možnost Nahradit stávající certifikát a v rozevírací nabídce vyberte nežádoucí certifikát.
Podle pokynů průvodce náhradu certifikátu dokončete.

Úprava certifikátů:

Je možné upravovat popis certifikátu nebo nastavit jako výchozí jiný certifikát.

Vyberte požadovaný certifikát.
Po kliknutí na možnost Edit budete moci provést některý z uvedených úkonů:
- Změnit popis certifikátu a kliknout na možnost OK.
- Volbou Nastavit jako výchozí certifikát mu přiřadíte výchozí status. Klikněte na možnost Použít.

Konfigurace certifikátů:

Certifikát pro službu je možné vyměnit za jiný certifikát, který vyhovuje vašim potřebám.

Kliknutím na možnost Konfigurovat zobrazíte všechny služby a odpovídající certifikáty.
Klikněte na současný certifikát cílové služby.
V rozevírací nabídce vyberte příslušný certifikát.
Klikněte na možnost OK.

Odstranění certifikátů:

Vyberte nežádoucí certifikát.
Odstranění certifikátu dokončete kliknutím na možnost Odstranit.

Poznámka:

Výchozí certifikát není možné odstranit.
Jestliže odstraníte jiný než výchozí certifikát, převezme odpovídající služby výchozí certifikát. Dávejte pozor, protože výchozí certifikát nemusí být s těmito službami zcela kompatibilní.