Instala un certificado SSL en tu NAS Synology

por Javier Rodríguez 15/09/2015 3

Tener un certificado verificado por una entidad habilitada no supone que vayamos a tener más o menos seguridad en nuestros accesos al NAS pero sí dará “garantías” a los contenidos que compartamos entre conocidos o al público en general. Si damos servicios Web desde nuestro NAS es sin duda imprescindible instalar uno.

Para conseguir un certificado verificado por un tercero habilitado para ello tenemos que cumplir algunas condiciones. Primero tener un dominio propio del que poseamos al menos una cuenta de correo electrónico y del que seamos propietarios o al menos tengamos control administrativo. No vale con el dominio dinámico que nos dé el operador de nuestro acceso a internet u otros servicios de DNS dinámico.

Si nuestro acceso a Internet es de IP dinámica entonces recomiendo registrar el dominio en algún servicio que nos dé servicios DDNS asociados al propio nombre de dominio. Sino también podremos hacer uso de algunos trucos de redirección de dominios como registros CNAME.

Normalmente un certificado de seguridad tiene un proceso de tres pasos. Primero la entidad emisora verifica que somos propietarios del dominio y que el dominio existe, seguidamente emitimos un CSR o solicitud de firma de certificado desde el NAS y tercero la entidad verifica el CSR y genera el certificado definitivo con validez pública y verificable desde cualquier navegador. Normalmente el certificado emitido por la entidad está orientado a algún tipo de servicio concreto, en nuestro caso necesitaremos un certificado para web/http. 

Existen muchas entidades emisoras de certificados de seguridad pero pocas ofrecen certificados gratuitos, StartSSL.com es una de ellas. Nos ofrece un certificado de clase 1, ampliamente superados actualmente, pero suficientes para servicios domésticos. Se trata de que quien conecta con nosotros no tenga mensajes extraños en el navegador.

Una vez que la entidad emisora verifica nuestra identidad, correo electrónico y dominio emitiremos el CSR desde el NAS. El proceso es sencillo. Tenemos que abrir el panel de control, panel de seguridad y pestaña de certificado. Pulsaremos en crear certificado y en el asistente elegiremos la segunda opción: “Crear petición de firma de certificado (CSR)”. 

Nos pedirá una serie de datos como el nivel de encriptación, que dejaremos en 2048, y el resto son más de localización y datos públicos que tendrá el certificado definitivo y que deben coincidir con los datos que hemos verificado anteriormente con la entidad emisora. El sistema nos devolverá dos archivos, el CSR y la Key propia del servidor. La primera la necesita el organismo emisor del certificado definitivo y la Key será indispensable puesto que es el nexo de unión entre ese certificado definitivo y nuestra máquina.

Con el CSR la entidad emisora nos devolverá un certificado público que normalmente se presenta en formato de archivo de texto llamado “ssl.crt” o “lo que sea.crt”. Es también un archivo de texto plano con una cadena encriptada.

Ahora lo que tenemos que hacer es importar en el NAS el nuevo certificado. Iremos al mismo panel de seguridad, certificado y pincharemos esta vez en “importar”. Nos muestra tres diálogos de ingreso de archivos. Solo necesitamos la clave privada, que es el archivo “server.key”, que creó el NAS cuando le pedimos que emitiera el CSR, y el certificado que es el archivo “*.crt” que ha emitido la entidad habilitada. Los situamos y damos a “OK”. Si todo está correcto el NAS reiniciará sus servicios HTTP y ya tendremos nuestro certificado público funcionando.

 

Si queréis forzar el uso de HTTPS en el NAS Synology primero tendréis que habilitar el HTTPS en el panel de control, servicios Web, y después, en el mismo panel de control, nos dirigiremos a “red” y después a configuración de DSM. Ahí encontraremos una opción que nos permite redirigir cualquier petición http a https forzando el uso de la encriptación.