SSL証明書の取得~DiskStation DS218j

DDNS関係, Synology DiskStation DS218j, Webサイト構築, WordPressDDNS, DSM, NAS, SSL, Synology, システム管理, セキュリティ

Googleさんのポリシーに洗脳された感は否めませんが、やはり通信すべからく暗号化されるべきでしょう。

特にホームページを公開するなら"http://"ではなく"https://"でないといけないような罪悪感にさいなまれる昨今ではあります。最近のブラウザは、正式な証明書がセットされていない、かつ、"https://"でのアクセスが可能になっているサイトに"https://"でアクセスしようものなら、

証明書のないサイトにSSLでアクセスすると...

のようなビックリメッセージが出て心臓によくありませんし。

というわけでSynology DiskStation DS218jの通信環境も、Webサーバー込みでできるだけセキュア通信にしたいと思います。

公式ナレッジスペース、

Synology NAS で HTTPS を有効にして、認証署名要求を作成するには | Synology Inc.

を読んでもなんとなく解り難かったので、先人のサイト、

Let’s Encryptの無償のSSL証明書の取得方法 | ホームネットワーク研究所ホームネットワーク研究所

【清水理史の「イニシャルB」】 Let’s EncryptでNASにもHTTPS通信を Synologyならウィザードで簡単導入 – INTERNET Watch

Synology DS-216JでLet’s Encryptからサーバ証明書(Free)を得る – rabbit51

を参考にさせていただきました(感謝!)。

まず、事前にルーターに"http(ポート80)"と"https(ポート443)"のポートフォワーディングをかけておきます。

静的IPマスカレードの設定|NVR500

SSL化後には"http(ポート80)"は不要になるように思えますが、証明書に更新には"http(ポート80)"を使うとのことですので空けておきます。

DSMにログインして[コントロールパネル]を開きます。

コントロールパネル|DSM

「セキュリティ」を開き「証明書」タブを選択します。

SSL証明書を作成する|DSM

“Synology.com"という名前の証明書がひとつありますが、これは証明機関に認証を持たない「おざなり証明書」です。これを"Let’s Encrypt"から発行される正式な証明書と入れ替えていきます。

Let’s Encrypt

Let’s Encrypt(レッツ・エンクリプト)は、2016年4月に正式に開始された認証局である[1]。自動化された発行プロセスにより、TLSX.509証明書の発行を無料で行っている[2][3]

出典:ウィキペディア

[追加]ボタンをクリックします。

既存の認証を置き換える|DSM

「既存の認証を置き換えます」にチェックを入れて[次へ]をクリックします。

Let’s Encryptから証明書と受け取る|DSM

「Let’s Encryptから証明書をお受け取り下さい」を選択し、「既定値としての証明書に設定します」にチェックを入れて[次へ]をクリックします。

証明書の申請設定|DSM

「ドメイン名:」には、【SynologyのDDNS設定~DiskStation DS218j】で取得したホスト名"wwq.myDS.me"を、「Eメール:」には受信できる自分のメールアドレスを、「サブジェクトの別名:」にはついでにSSL通信に使いたいホスト名を入力し、[適用]をクリックします。

「サブジェクトの別名:」は無くても構わなかったのですが、せっかくなのでYAMAHAルーターで使っているネットボランチのDDNSを追加しました。

1~2分で取得が完了します。

証明書の取得完了|DSM

証明書の名前と有効期限が変わりました。「Let’s Encrypt」の証明書の有効期限は3か月です。

証明書は期限が切れる前に自動更新されるとのことです。らくちんですね。

詳細を見るためにバーを展開してみます。

証明書の詳細|DSM

「サブジェクトの別名:」に設定したホスト名もきちんと登録されているようです。

あまり考えたくないですが、DS218jがクラッシュして初期化、みたいな緊急事態に備えて証明書のバックアップをとります。

証明書のエクスポート|DSM

[追加]のプルダウンから[証明書をエクスポート]を選んでパソコンに保存します。

DS218jがクラッシュしたときの備えなのでパソコンに保存しておきます。

証明書の取得は以上で終了です。これで"https://wwq.myds.me/"にアクセスしても、

証明書のないサイトにSSLでアクセスすると...

で閲覧する人をビビらせることはなくなりました。

引き続きこの証明書を使ってSSLを利用するDSMのアプリケーションの設定、【WebサーバーのSSL化~DiskStation DS218j】、【DSMへのSSL接続を強制する~DiskStation DS218j】をやります。