[Synology]Hướng dẫn cấu hình HTTPS và Xác thực Certificate tăng cường bảo mật cho NAS

Thảo luận trong 'Lưu trữ - Storage' bắt đầu bởi hainguyen, 15/12/20.

Tags:
  1. hainguyen

    hainguyen Member

    [​IMG]
    Tổng quan:
    - Giao thức HTTPS (Hypertext Transfer Protocol Secure) được sử dụng để mã hóa và giao thức bảo mật giữa thiết bị Synology NAS và các thiết bị khác. Bạn có thể sử dụng NAS để tự tạo chứng chỉ xác thực cho thiết bị và certificate signing requests (CSR).
    - Biết viết này hướng dẫn làm cách nào để kích hoạt HTTPs trên thiết bị Synology NAS cũng như các bước để tạo CSR. CSR này có thể được sử dụng chứng thư số của đơn vị thứ 3.
    - Các bước thực hiện:
    1. Kích hoạt HTTPS
    2. Tạo Certificates
      4.1. Thêm Certificates với chức năng Let's Encrypt có sẵn trong DSM.
      4.2. Tạo mới và Import CSR.
    I/ Kích hoạt HTTPS:
    1. Đăng nhập vào DSM sử dụng account có quyền admin.
    2. Vào Control Panel > Network > DSM Settings.
    3. Tick vào ô Automatically redirect HTTP connections to HTTPS (Web Station and Photo Station excluded), sau đó Apply. Thiết bị sẽ khởi động lại các cài đặt về network.​
    [​IMG]
    4. Khi các cài đặt được áp dụng, bạn kết nối DSM thông qua giao thức HTTPS. Lúc này địa chỉ port https mặc định sẽ chuyển sang "5001".​
    [​IMG]

    II/ Tạo các Certificate:
    2.1. Thêm các Certificate với Let's Encrypt trong DSM.
    - Để thêm Certificate cho NAS Synology, bạn có thể sử dụng Let's Encrypt có trong DSM. Bên dưới sẽ có 2 hướng dẫn để thực hiện.
    2.1.1>Tình huống 1: Nếu bạn cài đặt hostname cho NAS bằng Synology DDNS, việc đăng ký Certificate bằng Let's Encrypt cũng được hoàn thành trong quá trình setup hostname. Vào đường dẫn Control Panel > External Access > DDNS để thêm DDNS hostname.
    - Sau khi cấu hình xong, bạn có thể kết nối an toàn đến NAS Synology thông qua địa chỉ ví"https://thegioimang.synology.me:5001".​
    [​IMG]

    2.1.2>Tình huống 2: Nếu bạn có domain name của đợn vị cung cấp khác, làm theo các bước bên dưới để đăng ký 1 certificate bằng Let's Encrypt:
    - Vào trang Control Panel > Security > Certificate > click Add.​
    [​IMG]
    - Chọn Add a new certificate và click Next.
    [​IMG]
    - Chọn tiếp Get a certificate from Let's Encrypt và click Next.​
    [​IMG]
    - Nhập thêm các thông tin sau:
    1. Domain name: nhập domain bạn đã đăng ký từ bên thứ 3.
    2. Email: nhập địa chỉ email sử dụng đăng ký certificate registration. Một thông báo sẽ được gửi đến email này khi certificate hết hạn.
    3. Subject Alternative Name: nhập Sub-domain để gán cho NAS.
    !!!Lưu ý: Các domain đã nhập vào ô Domain name và Subject Alternative Name nên có cùng địa chỉ IP bên ngoài.
    - Click Apply để lưu các cài đặt. Certificate sẽ được import ngay lúc đó vào Synology NAS dựa trên các cấu hình trên.​
    [​IMG]

    2.2. Tạo CSR và Import Certificate:
    - Khi kết nối vào Synology NAS qua HTTPS, bạn sẽ thấy màn hình cảnh báo giống hình dưới. Cảnh báo này xuất hiện vì trình duyệt yêu cầu Certificate bên thứ 3 để nhận dạng thiết bị NAS, nhưng trình duyệt không tin vào Certificate mặc định được sử dụng bởi Synology NAS.​
    [​IMG]

    2.2.1> Tạo một Certificate Signing Request (CSR):
    - Vào trang Control Panel > Security > Certificate > click CSR.​
    [​IMG]

    - Chọn Create certificate signing request (CSR). Sau đó, click Next.​
    [​IMG]

    - Điền thêm thông tin cho CSR. Khi đã nhập xong click Next.
    - Nhập Domain name cho truy cập đến Synology NAS trong ô Common name.
    - Nhập địa chỉ email cho domain name trong ô Email.​
    [​IMG]

    - Hệ thống sẽ tạo 1 CSR. Khi hoàn tất, click Download.​
    [​IMG]

    - Một file được nến trong tệp archive.zip sẽ được tải về PC của bạn. Bên trong sẽ có 2 file: server.csr & server.key. Nên lưu giữ cả 2 file này cẩn thận.​
    [​IMG]

    2.2.2> Nhập Signed Certificate vào DSM:
    - Sau khi đã có được CSR, quay lại Control Panel > Security > Certificate > click Add.​
    [​IMG]

    - Chọn Add a new certificate > click Next.​
    [​IMG]
    - Chọn tiếp Import certificate > click Next.​
    [​IMG]
    - Click Browse để import các file bên dưới:
    • Private Key: chọn file server.key bạn đã lưu trên PC ở bước trước.
    • Certificate: chọn đã file có tên theo dạng yourdomainname.crt.
    • Intermediate Certificate: ổ này là tùy chọn. Nếu đơn vị cung cấp Certificate cung cấp, thì bạn hãy import vào đây.
    [​IMG]
    -Click OK, và CSR đã được import xong.​
    !!!Lưu ý: Hãy giữ Private key và các file Certificate ở nơi an toàn. Các file có thể sẽ cần thiết khi bạn cập nhật hoặc thay đổi Servers.

    ---Cám ơn các bạn đã xem bài viết này, chúc các bạn thực hiện thành công---
    -Hy vọng bài viết giúp ích cho việc tăng cường bảo mật cho NAS Synology của bạn-​
     
    hainguyen, 15/12/20
    #1

trang này