1. Herausforderungen und Lösungen
Beim Surfen im Internet riskieren Sie, Ihre persönlichen Daten preiszugeben. Die von Ihnen gesendeten oder empfangenen Nachrichten sind möglicherweise nicht sicher oder die von Ihnen besuchten Websites sind möglicherweise nicht authentisch. Diese Gefahr kann bei der Kommunikation zwischen Ihnen und einer Website oder zwischen Ihnen und Ihrem QNAP NAS bestehen. Durch die Verwendung eines Zertifikats oder privaten Schlüssels (TSL/SSL) für Ihr NAS können Sie die folgenden Vorteile genießen und die Verbindung zwischen Ihnen und Ihrem QNAP NAS sicherer machen:
- Vermeiden Sie es, ausspioniert zu werden, wenn Sie mit Ihrem QNAP NAS oder dem QNAP NAS Ihres Unternehmens verbunden sind.
- Vermeiden Sie Manipulationen und stellen Sie sicher, dass Sie mit dem richtigen QNAP NAS interagieren.
- Sie und andere NAS-Benutzer werden nicht mehr gewarnt, dass die Verbindung oder Website nicht sicher ist.
Diese Warnung wird angezeigt, wenn eine Website nicht über ein geeignetes SSL-Zertifikat verfügt.
In diesem Anwendungshinweis erklären wir, wie Sie ein Stammzertifikat für Ihre Verwendung und ein Zertifikat für QNAP NAS* mit OpenSSL und Windows Server erstellen. Außerdem erhalten Sie detaillierte Informationen zur Funktionsweise von Zertifikaten, privaten Schlüsseln und TSL/SSL. Informationen zum Kauf von myQNAPcloud-SSL-Zertifikaten finden Sie unterWie kaufe und verwende ich myQNAPcloud-SSL-Zertifikate?
*Die bereitgestellten Methoden gelten nur für QNAP NAS und sind nicht für öffentliche Websites geeignet.
2. Einführung
2.1. Was ist SSL?
Transport Layer Security (TLS) und sein Vorgänger Secure Sockets Layer (SSL) sind kryptografische Protokolle zur Bereitstellung einer sicheren Kommunikation über ein Computernetzwerk.
Ihre Webbrowser verfügen möglicherweise bereits über einige Stammzertifikate, die von Stammzertifizierungsstellen signiert wurden. Wenn Sie also eine Website besuchen, die von einer der Stammzertifizierungsstellen genehmigt oder vertrauenswürdig ist, erkennt Ihr Browser diese als vertrauenswürdig an und stellt eine sichere Verbindung für Sie her.
Die meisten Websites müssen einen Zertifizierungsprozess durchlaufen, bevor sie von einer Stammzertifizierungsstelle für den öffentlichen Zugriff anerkannt werden. Da jedoch nur Ihre Benutzer auf Ihr NAS zugreifen können, können Sie über OpenSSL und Windows Server als Root-CA fungieren. Dadurch können Sie wie unten gezeigt eine sichere Verbindung zwischen Ihrem privaten oder geschäftlichen Gerät und dem NAS herstellen:
Dieser Artikel zeigt, wie Sie ein selbstsigniertes Zertifikat mit OpenSSL erstellen (links).
Das letzte Kapitel zeigt, wie man ein Root-Zertifikat mit Windows Server erstellt (rechts).
 | Root-Zertifizierungsstelle |
 | Stammzertifikat nicht Gerät |
 | Zertifiziert in NAS |
Für den persönlichen Gebrauch können Sie auch ohne die OpenSSL-Befehlszeile schnell ein selbstsigniertes Zertifikat erstellen.http://www.selfsignedcertificate.com/(Diese Methode wird nur für den Heimgebrauch empfohlen). Siehe Kapitel 3.3 für weitere Informationen.
2.2. Systemanforderungen für OpenSSL
Um ein Zertifikat oder eine private Schlüsseldatei zum Sichern der Verbindung zu Ihrem QNAP NAS zu erstellen, können Sie OpenSSL verwenden oder ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erwerben. Das OpenSSL-Paket kann hier für Linux heruntergeladen werden:https://www.openssl.org/
Für Windows und andere Betriebssysteme finden Sie andere Versionen von OpenSSL, die von Mitgliedern der OpenSSL-Community entwickelt wurden. In diesem Beispiel verwenden wir Win32OpenSSL. diese Dosehttps://www.openssl.org/community/binaries.htmlheruntergeladen werden
*Visual C++ 2008 muss unter Windows installiert werden, bevor OpenSSL verwendet werden kann. Sie können es hier herunterladen:
http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF
3. Erstellen Sie ein Zertifikat
3.1. Root-Zertifikat mit OpenSSL erstellen
Nachdem Sie OpenSSL für Windows heruntergeladen haben, entpacken Sie das Paket und Sie sehen die folgenden Ordner:
Win32OpenSSL-Inhalt. In diesem Beispiel wird das Paket in C:\OpenSSL-Win32 gespeichert
Klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und öffnen Sie „Eingabeaufforderung (Admin)“. Geben Sie dann den folgenden Befehl ein:
CD C:\OpenSSL-Win32\bin
* Passen Sie den Dateipfad basierend auf dem Speicherort des entpackten Pakets an.
Öffnen Sie "Eingabeaufforderung (Admin)", indem Sie mit der rechten Maustaste auf die Schaltfläche "Start" klicken.
Bevor Sie beginnen, müssen Sie möglicherweise Ihre OpenSSL-Konfigurationsdatei identifizieren. Um den Pfad der Konfigurationsdatei manuell festzulegen, geben Sie den folgenden Befehl ein:
Legen Sie openssl_CONF=openssl.cnf fest 
Der Name der Datei openssl.cnf kann je nach OpenSSL-Version variieren. Sie müssen den Befehl entsprechend ändern.
Nachdem Sie diese Befehlszeile zum Erstellen des privaten Stammschlüssels verwendet haben, können Sie den Schlüssel erstellen (bis zu 4096 Zeichen). In diesem Beispiel setzen wir den Schlüssel auf 2048 Zeichen. Dieser private Schlüssel ist die Vertrauensbasis für Ihr Zertifikat; Daher muss der Befehl -des3 verwendet werden, damit wir ein Passwort für diesen Schlüssel festlegen können. Dieser Schlüssel und das Passwort müssen geheim gehalten werden. Beim Erstellen eines passwortlosen Schlüssels können Sie den Befehl -des3 entfernen:
openssl genrsa -des3 -out rootCA.key 2048 
Erstellen eines passwortgeschützten privaten Root-Schlüssels.
Nachdem Sie den privaten Schlüssel erstellt haben, können Sie den folgenden Befehl verwenden, um ein selbstsigniertes Zertifikat zu erstellen und zu konfigurieren, das mit dem Schlüssel übereinstimmt. Durch Ändern von -days können Sie das Ablaufdatum des Zertifikats festlegen (wir verwenden 730 Tage als Beispiel). Nach Eingabe dieses Befehls müssen Sie das Schlüsselkennwort und zusätzliche Informationen eingeben, die im Zertifikat gespeichert werden. Geben Sie im Abschnitt Allgemeiner Name den Namen dieses Stammzertifikats an.
openssl req -x509 -new -nodes -key rootCA.key -days 730 -out rootCA.pem 
Erstellen eines Zertifikats, das mit dem von Ihnen erstellten privaten Schlüssel gekoppelt ist.
Ein privater Schlüssel mit dem Namen rootCA.key und ein SSL-Zertifikat mit dem Namen rootCA.pem werden jetzt im Ordner bin gespeichert. Das Zertifikat ist selbstsigniert, 730 Tage gültig und fungiert als Stammzertifikat für ein QNAP-NAS, wenn Sie unterschiedliche Zertifikate pro NAS erstellen.
Der neu erstellte private Schlüssel und das SSL-Zertifikat.
3.2. Erstellen Sie mit OpenSSL ein Zertifikat für Ihr NAS
Verwenden Sie nach dem Erstellen des Stammzertifikats den folgenden Befehl, um ein weiteres Paar aus privatem Schlüssel und Zertifikat für Ihr QNAP NAS zu erstellen. Dies entspricht dem Erstellen eines privaten Stammschlüssels und Zertifikats. Sie können die Schlüsselzeichen anpassen, aber es ist kein Passwort erforderlich. Beim Erstellen eines Zertifikats für ein QNAP NAS muss der allgemeine Name die IP-Adresse oder der Hostname* des QNAP NAS sein.
*Einige Browser können eine IP-Adresse automatisch als unsicher einstufen und dennoch eine Warnmeldung anzeigen.
openssl genrsa -out device.key 2048
openssl req -new -key gerät.key -out gerät.csr
Generieren eines privaten Schlüssels und Zertifikats für Ihr QNAP NAS. Achten Sie darauf, die IP-Adresse/den Hostnamen (example.myqnapcloud.com) einzugeben, die Sie verwenden werden, um eine Verbindung zum QNAP NAS herzustellen.
Zwei Dateien mit den Namen „device.key“ und „device.csr“ werden im Ordner „bin“ gespeichert. Sie müssen den folgenden Befehl eingeben, um das generierte Zertifikat mit dem privaten Schlüssel des Stammzertifikats zu signieren. Sie können das Ablaufdatum des Zertifikats festlegen (wir verwenden 730 Tage als Beispiel):
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 730 
Gerät.csr signieren. Wenn Sie ein rootCA.key-Passwort erstellt haben, müssen Sie es eingeben.
3.3. Erstellen Sie mit www.selfsignedcertificate.com ein Zertifikat für Ihr NAS
Sie können ein selbstsigniertes Zertifikat im Internet erstellen. *Geben Sie die IP-Adresse/den Hostnamen Ihres QNAP NAS unter http://www.selfsignedcertificate.com/ ein und klicken Sie auf „Erstellen“. Stellen Sie sicher, dass die eingegebene Adresse dieselbe ist, die Sie verwenden, um Ihr NAS zu besuchen.
*Einige Browser können eine IP-Adresse automatisch als unsicher einstufen und dennoch eine Warnmeldung anzeigen.
Geben Sie die IP-Adresse/den Hostnamen Ihres QNAP NAS ein
Laden Sie die .key- und .cert-Dateien herunter.
4. Stellen Sie eine sichere Verbindung her
4.1. Konfigurieren Sie das QNAP NAS, um eine sichere Verbindung zuzulassen
Die obigen Aktionen erstellen eine neue Datei mit dem Namen „device.crt“ mit „device.key“, und Sie können „address.cert“ und „address.key“ hinzufügenwww.selfsignedcertificate.comherunterladen. Jetzt müssen Sie den Inhalt der .crt- (oder .cert) und .key-Dateien auf ein QNAP NAS hochladen. Öffnen Sie diese Dateien mit Notepad (oder einem anderen Texteditor)*, melden Sie sich bei Ihrem NAS an, gehen Sie zu „Systemsteuerung“ > „Sicherheit“ > „Zertifikat und privater Schlüssel“, kopieren Sie alle Inhalte der Schlüsseldateien und des Zertifikats in die entsprechenden Felder und klicken Sie auf Übernehmen.
*Öffnen Sie die Datei nicht mit Microsoft Word. Verwenden Sie keinen Zeilenumbruch in Ihrem Texteditor.
Diese Dateien werden mit dem oben beschriebenen Verfahren erstellt oder heruntergeladen. Öffnen Sie sie mit Notepad oder einem anderen Texteditor.
Kopieren Sie den Inhalt der Schlüssel- und Zertifikatsdateien und fügen Sie sie in Zertifikat und privater Schlüssel in der Systemsteuerung ein.
Klicken Sie auf Übernehmen, um den eingebetteten Schlüssel und die Zertifikatsdaten hochzuladen.
Der Status „Zertifikat und privater Schlüssel“ ändert sich von Standardeinstellung verwenden zu „Hochgeladenes sicheres Zertifikat verwenden“
Gehen Sie zu „Systemsteuerung“ > „Anwendungen“ > „Webserver“ und wählen Sie „Sichere Verbindung aktivieren (HTTPS)“.
Aktivieren Sie nach dem Akzeptieren des Zertifikats eine sichere Verbindung zum Webserver
5. Verwenden Sie eine sichere Verbindung
5.1. Speichern Sie das Stammzertifikat auf Ihren Geräten und verbinden Sie sich sicher mit Ihrem NAS
Benennen Sie für mit OpenSSL erstellte Stammzertifikate rootCA.pem in rootCA.crt* um. mitwww.selfsignedcertificate.comerstellte Zertifikate, benennen Sie address.cert in address.crt um. Übertragen und öffnen Sie dann die umbenannte Datei auf dem Gerät, das auf das NAS zugreifen soll.
*Bei einigen Betriebssystemen ist dies möglicherweise nicht erforderlich. Unterschiedliche Betriebssysteme können unterschiedliche Methoden zum Importieren von Zertifikaten verwenden.
Beim Importieren des Zertifikats in Windows werden Informationen zum Zertifikat zur Bestätigung angezeigt. Klicken Sie auf „Zertifikat installieren“, um es auf Ihrem PC zu speichern. Wenn Sie gefragt werden, wo dieses Zertifikat gespeichert werden soll, wählen Sie Vertrauenswürdige Stammzertifizierungsstellen aus. Vor dem Abschluss fordert Windows Sie möglicherweise auf, Ihren Ursprung zu bestätigen. Da es von Ihnen erstellt wurde, können Sie auf „Ja“ klicken. Nach der Installation sollten Ihre Browser dieses Zertifikat verwenden*.
*Internet Explorer und Edge verwenden diese Zertifikate standardmäßig. Andere Browser verwenden möglicherweise andere Methoden zum Speichern von Stammzertifikaten, und Sie müssen diese manuell konfigurieren.
Importieren Sie rootCA.crt auf Ihre PCs, die auf das QNAP NAS zugreifen.
Bitte schließen Sie Ihren Browser und öffnen Sie ihn erneut, damit die Änderungen wirksam werden. Geben Sie in der Adressleiste https:// (IP-Adresse oder Hostname Ihres NAS): (Ihr sicherer Port) ein, um sich beim NAS anzumelden. Sie sehen die Zertifikatsnachricht im Browser, die bestätigt, dass Ihr NAS identifiziert wurde und die Verbindung sicher ist.
Nach der Überprüfung identifiziert Ihr Browser Ihre Website korrekt und bestätigt, dass die Verbindung sicher ist.
6. Verwenden Sie die Windows Server-Zertifizierungsstelle, um das NAS-Zertifikat auszustellen und zu verwalten
Wenn Sie mehrere Geräte mit Windows Server Active Directory verwalten, können Sie ein Stammzertifikat mit Windows Server erstellen und die Zertifikatsanforderung von Ihrem QNAP NAS signieren. Installieren Sie zuerst die CA Management Tools auf Windows Server. In diesem Beispiel verwenden wir Windows Server 2012.
Sie finden die CA-Verwaltungstools unter Rollen und Funktionen hinzufügen
Nach der Installation der Certificate Authority Management Tools finden Sie im linken Menü des Server Managers einen neuen Eintrag („AD CS“). Das bedeutet Active Directory Certificate Services. In AD CS müssen Sie ein Stammzertifikat für Ihr Netzwerk konfigurieren. Sie können den Assistenten verwenden, um ein neues Stammzertifikat mit Windows Server zu erstellen, oder ein vorhandenes Stammzertifikat auswählen.
Der Server-Manager fordert Sie auf, die Active Directory-Zertifikatdienste Ihres Servers zu konfigurieren.
Folgen Sie dem Assistenten, um ein Stammzertifikat zu konfigurieren. Sie können ein neues Stammzertifikat erstellen oder einen vorhandenen privaten Schlüssel verwenden. In diesem Beispiel erstellen wir einen neuen privaten Schlüssel.
Bestätigen Sie Ihre Einstellungen, nachdem Sie alle Optionen abgeschlossen haben. Für unterschiedliche Nutzungsanforderungen können verschiedene Optionen ausgewählt werden.
Nach Abschluss der Konfiguration ist Ihr Server berechtigt, ein Zertifikat zu signieren. Informationen zum Signieren Ihres QNAP NAS mit dem Stammzertifikat des Servers finden Sie in Kapitel 3.2 zum Erstellen einer .csr-Zertifikatsdatei. Nachdem die .csr-Datei erstellt wurde, suchen Sie im Menü „Extras“ des Server-Managers nach „Zertifizierungsstelle“.
Der Speicherort der CA-Funktion.
In Certificate Authority können Sie die von Ihrem Server signierten und ausgestellten Zertifikate verwalten. Um das Zertifikat für das NAS zu signieren, klicken Sie mit der rechten Maustaste auf Ihren Server, wählen Sie „Alle Aufgaben“ > „Neue Anfrage erstellen“ und navigieren Sie zu der .csr-Datei, die die IP-Adresse/den Hostnamen Ihres QNAP NAS enthält*. Suchen Sie unter Ausstehende Anforderungen die soeben gesendete Anforderung und klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie ausstellen möchten.
*Es gibt andere Methoden, um eine .csr-Datei für Ihr QNAP NAS zu erstellen, ohne die OpenSSL-Befehlszeile zu verwenden; dazu gehört auch diese Website: https://www.gogetssl.com/online-csr-generator/
Senden Sie eine neue Zertifikatsanforderung an Ihr NAS.
Suchen Sie die .csr-Datei, die mit OpenSSL für Ihr NAS erstellt wurde.
Zertifikat ausstellen
Nachdem das Zertifikat ausgestellt wurde, wählen Sie es unter „Ausgestellte Zertifikate“ aus und exportieren Sie das Zertifikat in eine Datei, damit Sie seinen Inhalt zusammen mit dem privaten Schlüssel auf Ihr QNAP NAS hochladen können (siehe Kapitel 4.1). Ihr NAS verwendet das von Ihrem Windows-Server ausgestellte Zertifikat.
Öffnen Sie „Ausgestellte Zertifikate“ und wählen Sie „In Datei kopieren“, wenn Sie das ausgestellte Zertifikat sehen.
Wählen Sie Base-64 Encoded X.509 (.CER) aus, damit Sie die Datei mit Notepad auf Windows Server öffnen können.
Nachdem Sie Kapitel 4.1 befolgt haben, um das Zertifikat und den Schlüssel in Ihr NAS einzufügen, verwendet Ihr NAS das von Ihrem Windows-Server ausgestellte Zertifikat.