Webserver SSL Zertifikat auf einer QNAP Nas einrichten

Voraussetzung


Das SSL Zertifikat ist erstellt. Wenn Dienste der Nas vom Internet aus erreichbar sein sollen, ist die zertifizierte (Sub-)Domain mit der externen IP-Adresse verknüpft, unter der die Nas adressiert werden kann. Bei der Firewall (dem Router) ist eine entsprechende Portweiterleitung/Umleitung auf die Intranet IP der NAS eingerichtet.


HTTPS, sicheren Anschluss aktivieren


Im Auslieferzustand hat die QNAP Nas zwei Ports 443 und 8081 für verschlüsselte SSL Datenverbindungen vorgesehen. Die beiden Ports sind an unterschiedlichen Stellen in der WEB GUI zu administrieren.


Die Einstellungen zu Port 443 befinden sich unter Systemsteuerung --> Systemeinstellungen --> Allgemeine Einstellungen



1. Falls noch nicht aktiviert, muss hier das Häkchen gesetzt werden.


2. Mit dem "Auf alles Anwenden"-Button wird die Einstellung übernommen.



Die Einstellungen zu Port 8081 befinden sich unter Systemsteuerung --> Anwendungen --> Webserver



1. Falls noch nicht aktiviert, muss hier das Häkchen gesetzt werden.


2. Mit dem "Auf alles Anwenden"-Button wird die Einstellung übernommen.



Netzwerkzugangsschutz aktivieren


Mit Hilfe des Netzwerkzugangsschutz kann die Gefahr vor unerwünschten Eindringlingen verringert werden. Potentielle Angreifer versuchen mit automatisierten Abfragen Benutzer/Passwort-Kombinationen auszutesten. Der Netzwerkzugangsschutz blockiert die IP des Angreifers für eine bestimmte Zeit oder dauerhaft nach einer bestimmten Anzahl von Verbindungsfehlversuchen. Die Option "dauerhaft blockieren" sollte mit Bedacht gewählt werden, der Zugangsschutz gilt nämlich auch fürs Intranet und man kann sich auch selbst aussperren.


Der Netzwerkzugangsschutz ist für verschiedene Dienste aktivierbar. Nachfolgend wird beispielhaft der Schutz für die HTTPS Verbindungen aktiviert. Wir öffnen in der WebGUI die Seite unter Systemsteuerung --> Systemeinstellungen --> Sicherheit



1. Wir wechseln zum Reiter Netzwerkzugangsschutz.


2. Netzwerkzugangsverbindung aktivieren.


3. Bedingung für die Bannliste einstellen und aktivieren.


4. Mit dem "Auf alles anwenden"-Button bestätigen.



Zertifikat einrichten


Wir haben in der WebGUI die Seite unter Systemsteuerung --> Systemeinstellungen --> Sicherheit geöffnet.




1. Wir wechseln auf den Reiter Zertifikat & privater Schlüssel.


2. Hier wird mit Cut & Paste der Inhalt der Zertifikat-Datei eingetragen.


3. Hier wird mit Cut & Paste der Inhalt der Schlüsseldatei eingetragen.


4. Hier wird mit Cut & Paste der Inhat des Zwischenzertifikats eingetragen und das Häkchen aktiviert. Die Eintragung des Zwischenzertifikats ist optional vom Zertifikatsausteller abhängig und deshalb nicht in jedem Fall nötig.


Nun sehen die Eingabemasken ungefähr so aus:




1. Mit "Übernehmen" wird der Vorgang abgeschlossen.


Das Zertifikat wird nun installiert und ist nach wenigen Augenblicken verfügbar.



Zertifikat prüfen

Auf der Internetseite von QUALYS ist ein Selbsttest des eingerichteten Zertifikats möglich. Die Bewertungsskala ist von A+ (grün), A (grün), B (gelb), C (gelb), D (rot), E (rot), F (rot) gegliedert. Nähere Information bietet das SSL Server Rating Guide von QUALYS. Der Screenshot zeigt die Zusammenfassung eines Testdurchlaufs eines kostenfreien Webserver Zertifikats mit 1-jähriger Gültigkeit.






Weitere nützliche Informationen


Die Anleitung für die Einrichtung eines Webserver SSL Zertifikat von StartCom findest du hier!


Informationen zu "Wie sichere ich mein NAS zum Internet ab" findest du hier!


Welche Ports nutzt die Turbo NAS? Informationen findest du hier!


:qclub:

Kommentare 5

  • Wobei man noch darauf hinweisen sollte, das wegen einer veralteten OpenSSL Version auf den QNAPS mit ARM Prozessor
    der Status leider Gelb bleibt.
    No support for TLS 1.2, which is the
    only secure protocol version.

    • Kann ich erfreulicherweise nicht grundsätzlich bestätigen. Ich habe aktuelle das Zertifikat auf einer ARM Nas laufen und bekomme dort das grüne A. TLS 1.2 ist dort auch mit Erfolg geprüft worden. TS-231, Firmware V4.2


      Mit welcher Nas und welcher Firmware hast du es versucht?

    • Das ist ja merkwürdig?!


      Ich habe das Modell:TS-131 mit der Firmwareversion:4.2.2
      [~] # openssl version
      OpenSSL 1.0.0t 3 Dec 2015

    • Hm, in der Tat merkwürdig oder auch nicht.


      Laut change log QTS 4.2.1 Build 20160419: OpenSSL has been updated to 1.0.0t/ 1.0.1r, wobei dadurch nicht klar ist, welche Nas nun welche OpenSSL Version bekommt.


      Ich habe noch eine alte TS-219P, die kürzlich die aktuelle V4.2.2 aufgespielt bekommen hat und die zeigt:


      [~] # openssl version
      OpenSSL 1.0.1t 3 May 2016


      Meine Aussage zur TS-231 ist unter Vorbehalt, ich kann momentan nicht klären ob bezüglich OpenSSL "nachinstalliert" worden ist.


      Auf jeden Fall danke für den Hinweis, ich werde die Anleitung entsprechend ergänzen.

    • OK, ich habe mal ein Ticket aufgegeben.


      Hier die Antwort vom Support:
      QNAP Development arbeitet an der Implementation einer neueren OpenSSL Installation.


      Diese sollte in den nächsten FirmwareVersionen enthalten sein. Leider kann ich Ihnen noch kein definitives Datum nennen.