- 操作環境
- OS:Windows11
- Webブラウザー:Google Chrome
- 対象機器(NAS):Synology DS416(DSM7.2.2/HDD×3/RAID-5)
NASにおける自己署名証明書の使用
NASのHTTPS通信でSSL証明書が導入されていないと、セキュリティ警告が表示されます。
ローカル環境やVPN環境に閉じてNASを使用するのであれば(つまりインターネットから直接NASにアクセスしない)、SSL証明書を第三者機関に申請・発行して使用するのではなく、自己署名証明書を作成して使用するのも選択肢の一つです。
これにより、セキュリティ警告が表示されなくなります。
この記事では、NASへの自己署名証明書の導入設定手順を紹介します。
なお、第三者機関によるSSL証明書の導入設定手順については、以前の記事でLet’s Encryptの例を紹介していますので、よろしければ参考にしてください。
証明書署名要求(CSR)作成
NAS管理者でDSM管理画面にアクセスし、[コントロールパネル>セキュリティ>証明書]を選択します。[設定]を選択します。
[詳細>証明書署名要求(CSR)を作成]を選択します。
以下の通り、CSRの情報を入力し、[次へ]を選択します。
- コモンネーム:NASのWeb画面のURLで使用するホスト名
- 電子メール:NAS管理者のメールアドレス
- 位置、都道府県、市町村:NASの設置場所
- 組織:NASを管理する組織名
- 部門:NASを管理する部門名
[ダウンロード]を選択します。
[archive.zip]ファイルがダウンロードされたらこれを展開し、中身の2ファイルを[C:\temp\nas_cert]などの適当な作業フォルダーに配置します。
図表2-3で配置した2ファイルと同じ作業フォルダーに、SAN.txtというファイルを用意し、以下の通り記述します。
subjectAltName = DNS:***[図表2-2のコモンネームと同じ値],IP:xxx.xxx.xxx.xxx[NASのIPアドレス]
OpenSSLによる証明書作成
OpenSSLをダウンロードし(Lite版で問題ありません)、インストールします。
インストール手順は難しくないので割愛します。
インストールが完了したら、タスクバーの検索欄に[openssl]と入力し、[Win64 OpenSSL Command Prompt]が表示されたら、[開く]を選択します。
cdコマンドで作業フォルダー(この例ではC:\temp\nas_cert)に移動し、以下コマンドを実行します。
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt -extfile san.txt
作業フォルダー(この例ではC:\temp\nas_cert)にserver.crtが作成されます。
これをダブルクリックし、[証明書のインポート]を選択し、図表5-3,5-4のように作業PCにインストールします。
このインストール作業により、証明書が信頼された状態になります。
作業フォルダーのファイル群は紛失・盗難に遭わないよう安全な場所に保管しておきます。
NASへの証明書追加・有効化
DSM管理画面に戻り([コントロールパネル>セキュリティ>証明書])、[追加]を選択します。
[新しい証明書を追加してください]を選択し、[次へ]を選択します。
証明書名を適宜入力し、[証明書のインポート]を選択し、[次へ]を選択します。
以下の通りファイルを指定し、[OK]を選択します。
- 秘密キー:作業フォルダーのserver.key
- 証明書:作業フォルダーのserver.crt(図表3-4で確認したファイル)
- 中間証明書:(指定しない)
証明書が追加されました。この証明書を有効化するため、[設定]を選択します。
[構成]メニューにて[システムデフォルト]([ログインポータル]が表示される場合はそれも)の証明書を今回追加した証明書に変更します。
これにより、工程6でWeb画面のアクセス時にセキュリティ警告が表示されなくなるか確認します。
工程5でユーザーPCに証明書をインポートするため、今回追加した証明書の写しを取得します。
追加した証明書を選択し、[操作>証明書のエクスポート]を選択します。
archive.zipファイルがダウンロードされたらこれを展開し、cert.pemをコピーしてcert.crtに変更します。
このcert.crtをユーザーPCにインストールすることで、そのPCでNASのWeb画面にアクセスした際、セキュリティ警告が表示されなくなります。
ユーザーPC 証明書インポート
ここからはNASにWebアクセスするユーザーPCでの作業になります。
この記事では手動で証明書を挿入しますが、Microsoft Intuneなどによる一斉配布もできます(Microsoft Intuneの場合は[デバイス構成ポリシー>管理テンプレート>信頼された証明書]で設定)。
タスクバーの検索欄に[certlm.msc]と入力し、これが表示されたら[管理者として実行]を選択します。
[信頼されたルート証明機関>証明書]を選択して右クリックし、[すべてのタスク>インポート]を選択します。
証明書のインポートウィザードが表示されたら、[次へ]を選択します。
図表4-6で用意したcert.crtを選択し、[次へ]を選択します。
[信頼されたルート証明機関]が選択されていることを確認し、[次へ]を選択します。
[完了]を選択します。
[信頼されたルート証明機関>証明書]にインポートした証明書が表示されれば完了です。
ユーザーPC 動作確認
工程5のユーザーPCでNASのWeb画面にアクセスしてみます。
図表1-1と同じURL(ホスト名指定)でアクセスを試みたところ、セキュリティ警告が表示されなくなっていました。
ホスト名をNASのIPアドレスに変更してアクセスを試みたところ、セキュリティ警告が表示されなくなっていました。
図表2-4のSANの設定が効いていることが判ります。
おわりに
SynologyのナレッジセンターのDSM7.xにおける証明書のページでは、自己署名証明書の導入手順は掲載されていません。OpenSSLによるコマンド実行も必要なため、初めて扱う場合は煩雑に感じるかもしれません。備忘録を兼ねてこの手順を紹介しました。
当ブログ内の関連記事
