Certifikáty, zabezpečení, https://

O certifikátech jsem se již zmínil ve článku Synology nastavení. Pomocí certifikátu se šifruje spojení mezi srverem a uživatelem, který na něj přistupuje. Certifikát potřebujete jestli chcete k Synology přistupovat přes zabezpečené spojení jako například https://, což osobně předpokládám za nutnost pokud provozujete na Synology Webstation nebo k NAS přistupujete přes internet. Také ho budete potřebovat, jestli provozujete MailServer nebo VPN a další služby vyžadující SSL šifrování.

Jak dostat certifikát:
Způsobů jak získat certifikát je na internetu napsáno mnoho a dost podrobně. Certifikát si doma sami nevytvoříte, ale musíte o něj zažádat. Autorit vydávající certifikáty je dnes mnoho a liší se hlavně cenou a typem certifikátu. Jsou i stránky (české), které Vám nabídnou certifikáty různých autorit a porovnávají je právě cenou i typem. Proto není těžké si správně vybrat. Důležité je také to, že žádost o certifikát provedete pohodlně z domova z domácího PC a dostanete ho během pár minut.

startssl.jpg, 4,7kB  SSL certifikát
  Cena za certifikát:
Jsou Autority, které vydávají základní certifikát na jednu doménu zadarmo. Což je potěšující pokud chcete NAS testovat, zkoušet různé zabezpečené služby atd. Dá se s tímto certifikátem samozřejmě i normálně fungovat. Zabezpečení stránek je korektní. Tím, že je certifikát zadarmo má své ale. Základní problém je, že vydavatel není ověřen a tak Vám internetový prohlížeč při každém vstupu na zabezpečené stránky takovým certifikátem bude hlásit, že se jedná o nedůvěryhodné stránky a Vy musíte potvrzovat, že opravdu na tyto stránky chcete přistupovat. Některé lidi to může odradit, nebo se leknou a na stránky vůbec nevstoupí.

certifikat_neduveryhodny.png, 20kB

Pokud uvažujete o dlouhodobém běhu NAS, a zabezpečených služeb, nebo provoz s jednou doménou a více doménami, mohu z vlastní zkušenosti doporučit si za certifikát zaplatit. Po nějakém čase zjistíte, že Vás nebo další uživatelé bude hlášení o důvěryhodnosti certifikátu dost obtěžovat. Ceny šli rapidně dolů a dnes stojí certifikát kolem 150kč na rok pro doménu. Pokud jste ochotni platit za doménu, cena certifikátu by Vás již neměla odradit. Například já jsem si pořizoval certifikát za 1047kč na tři roky pro tři domény. Což vychází 116kč na jednu doménu na rok. To už je cena, kterou lze tolerovat i když je doména nevýdělečná a jen pro soukromé účely.

Typ certifikátu:
Certifikáty zhruba dělíme podle toho co vše mají pokrýt:

  • jedna doména (www.domena.cz + domena.cz)
  • jedna doména a subdomeny (www.domena.cz + *.domena.cz)
  • multidoména (www.domena.cz + www.domena1.cz + další)
  • multidoména a subdoména
  • doména(y) se zeleným pruhem

Záleží tedy čistě na Vás, co vše certifikát má pokrýt a kolik chcete investovat. Pokud máte jednu doménu a potřebujete pokrýt například jen MailServer, MailStation, Photostation, přístup na DSM, bude Vám stačit základní jednodoménový certifikát. Jestli provozujete WebStation a přistupujete zabezpečeně na subdomény nebo-li domény třetího řádu, potřebujete certifikát, který pokryje jak doménu, tak i subdomény. Pokud na NAS přistupujete z více domén (přátelé, rodina atd.) budete potřebovat multidoménový certifikát, který pod jednu IP adresu certifikuje několik domén.

Vytvoření certifikátu:
Na každých stránkách certifikačních autorit, které vydávají certifikáty, jsou zároveň i návody a průvodce. Spousty je i v českém jazyce. První co budete potřebovat je „Osobní klíč“ a „Žádost o certifikát“. Po vyplnění elektronických formulářů a odeslání, dostanete ke stažení do počítače dva soubory s koncovkou „key“ – osobní klíč a „csr“ – žádost o certifikát. Na základě těchto dvou souborů nyní požádáte o certifikát. Dnes při sestavování certifikátu Vás provede průvodce, který Vám přesně napoví, jak máte co nastavit jako subdomény, další domény, sílu šifrování a další. Po úplném vyřízení certifikátu získáte další soubor „crt“ – samotný certifikát. Pokud vyřizujete multidoménový certifikát získáte kromě „crt“ souboru ještě jeden soubor, ve kterém jsou uloženy certifikáty všech dalších domén, o které jste žádali. Jedná se o střední certifikát. Pokud máme již osobní klíč, certifikát popřípadě střední certifikát stačí jej už do NAS nahrát a potvrdit.

certifikat.png, 79kB

Teď si už jen vychutnávat zabezpečeného připojení.

www_cert.png, 15kB