Як встановити сертифікат SSL в Netgear ReadyNAS - Григорій Пожванов
Щоб комфортно користуватися веб-інтерфейсом Netgear ReadyNAS, не отримуючи повідомлення браузера про підозрілий сертифікат, потрібно встановити на файл-сервер довірений сертифікат від надійного центру сертифікації. Крім того, підключення до спільного ресурсу на ReadyNAS через WebDAV на Windows буде успішним, тільки якщо операційна система довіряє сертифікату сервера.
Для налаштування та встановлення свого сертифіката потрібно мати доступ до ReadyNAS SSH. Очевидно, що ви вже встановили “Enable Root SSH” з каталогу додаткових модулів (Add-on) для ReadyNAS.
Генерація запиту на видачу сертифіката (CSR)
mkdir crt cd crt Далі формуємо приватний ключ (без шифрування ключа) та запит до центру сертифікації на основі приватного ключа. Для цього потрібно послідовно відповідати на питання програми, вписуючи відповіді на латиниці і переходячи до наступного питання натискання клавіші Enter . Зверніть увагу, що, відповідаючи на запитання “Common name (eg, YOUR name)”, потрібно писатине ваше ім'я,а доменне ім'я сервера! openssl req -nodes -newkey rsa:2048 -keyout volvox.key -out volvox.csr Generating a 2048 bit RSA private key . +++ . +++ записувати новий private key на 'volvox.key' ----- Те, що ви збираєтеся до введення інформації про те, що буде введено у вашому досліджуваному запиті. What you are about to enter is what is called a Distinguished Name or a DN. ви наведете '.', поле буде за бланк. ----- Country Name (2 letter code) [AU]: RU State or Province Name (full name)[Some-State]: Saint-Petersburg Locality Name (eg, city) []: Saint-Petersburg Organization Name (eg, company) [Internet W & St; Name (eg, section) []: PPB Common Name (eg, YOUR name) []: volvox.pozhvanov.com Email Address []: [email protected] Повернутись до списку ' extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: На останні два питання програми можна не відповідати – це не впливає на видачу сертифіката . Перевіримося тепер, що в папціcsrз'явилися файли приватного ключа (volvox.key) та запиту на видачу сертифіката (volvox.csr): ls volvox.csr volvox.key
На цьому етапі ми вже маємо запит на видачу сертифікату, з яким потрібно буде звернутися до центру сертифікації. Це текстовий файл, який можна легко вивести на екран, та скопіювати текст: vi volvox.csr -----BEGIN CERTIFICATEЗАПИТ----- MIIDCDCCAfACAQAwgcIxCzAJBgNVBAYTAlJVMRkwFwYDVQQIExBTYWludC1QZXRl cnNidXJnMRkwFwYDVQQHExBTYWludC1QZXRlcnNidXJnMSowKAYDVQQKEyFTYWlu dC1 QZXRlcnNidXJnIFN0YXRlIFVuaXZlcnNpdH kxDDAKBgNVBAsTA1BQQjEdMBsG A1UEAxMUdm9sdm94LnBvemh2YW5vdi5jb20xJDAiBgkqhkiG9w0BCQEWFWdyZWdv cnlAcG96 aHZhbm92LmNvbTCCASIwSTPQKoZIhvcNAQEBBQADggEPADCCAQoCggEB ALom4SLUtBrqkQJFGHPp 3srshLsAKMTj+M0T/inT34/ItQ24sxeCNPQYCCn5P8hK FJfk+/28vcLJllYrKAsFu32F /zpxHEGXO/+9MbasPjjy93fFZ5qtdi2byQlsy1FZ Wf8vJoH6ytRs8l545w56mLGU49XudYnqY/85DXBFQhlope/UbOVqWYgtP/vld0BK bBhlKmTwx0o6q9SlZOgixFiNq7/3pnHLo94Cw6XuaQF7iVqVIxVnKwigdEsedE1T DyfCL47SdP8Tm2zkCNWrs mF6xAFn4d8L+1D3rOUK+gPzb842kY9dDL4E2Ql3uZ8q eHD+DMD8Q5+EXn7bgORI4o8CAwEAAaAAMA0GCSqGSIb3DQEBBQUAA4IBAQAhonCN H2YGzR0zzskfs xg6XAtD9QLAgUILkRtLluzkRegNJ2YW5dfHKrChmb DerCZqOfwd CzrLTBNXka6vtxkNeC/vhKh1w1N45un8OFZXtaj+Gq91Q8jpSrKe42S0B4LQd0pS aJL392yHHso5CFIyaD у6ОпГпкві+ tG2b7SsI7CrxGNra7Bl2obQz4mfpvxgoQwb8 HY8WxZjzGiT0oe1RWjgbK9h9vGRAw3kOBul4G0lTJosg2+jeyr/azDNt+M0lo6KZ ubZ+BroGzY3o/xazG1/E23HK3JZxVbcPW kMxaPr6BLotX9UxxM37vx/ivzWs2q1/ d8hIoO6iC3qbnkRi ----ЗАПИТ НА СЕРТИФІКАТ-----
Отримання безкоштовного SSL сертифіката в сертифікаційному центрі
Ім'я CSR, можна подати в будь-який центр сертифікації та обладнання цифрової сертифікації SSL. Я використовую безкоштовні тестові сертифікати, але повноцінні сертифікати від SSL.com терміном на 90 днів.
Я натиснув кнопку «ОТРИМАТИ» на сайті SSL.com і збираюся ввести дані на нашому сервері. Учитывая, що у нас вже є CSR, вибираємо опцію «Я хочу подати свій CSR зараз»:
На наступному етапі необхідно прийняти ліцензійну угоду, авторизуватисяабо створити обліковий запис:
Сервер автоматично розпізнає доменне ім'я вашого ReadyNAS, вказане у запиті на видачу сертифіката. Далі потрібно ввести інформацію про організацію, яка запитує сертифікат, та ваші контактні дані:
Через кілька годин після успішної валідації домену SSL.com випустить сертифікат і надішле його на вашу електронну пошту. Сертифікат буде вкладено в лист і продубльовано у тексті, звідки його легко скопіювати та вставити в консольний vi .
Встановлення сертифіката SSL у Netgear ReadyNAS
Отримавши цифровий сертифікат із центру сертифікації, встановимо його у ReadyNAS. Для цього повернемося до сесії SSH з файл-сервером і створимо файл сертифіката: vi volvox.crt i Вставимо скопійований текст за допомогою клавіатурного скорочення: Ctrl+V В файл виявиться вміст сертифіката: -----BEGINСЕРТИФІКАТ----- MIIFDjCCA/agAwIBAgIRANUOXw/WRseHTuyjouGnXZkwDQYJKoZIhvcNAQEFBQAw PTELMAkGA1UEBhMCVVMxEDAOBgNVBAoTB1NTTC5jb20xHDAaBgNVBAMTE1NTTC5j b20g RnJlZSBTU0wgQ0EwHhcNMTMwMTIyMDAwMDAwWhc NMTMwNDIyMjM1OTU5WjCB ijEhMB8GA1UECxMYRG9tYWluIENvbnRyb2wgVmFsaWRhdGVkMTMwMQYDVQQLEypI b3N0ZWQgYnkgU2 VjdXJlIFNvY2tldHMgTGFib3JhdG9yaWVzLCBMTEMxETAPBgNV BAsTCEZyZWUgU1NMMR0wGwYD VQQDExR2b2x2b3gucG96aHZhbm92LmNvbTCCASIw DQYJKoZIhvcNAQEBBQADggEPADCCA QoCggEBALom4SLUtBrqkQJFGHPp3srshLsA KMTj+M0T/inT34/ItQ24sxeCNPQYCCn5P8hKFJfk+ /28vcLJllYrKAsFu32F /zpx HEGXO/+9MbasPjjy93fFZ5qtdi2byQlsy1FZWf8vJoH6ytRs8l545w56mLGU49Xu dYnqY/85DXBFQhlope/UbOVqWYgtP/vld0BKbBhlKmTwx 0o6q9SlZOgixFiNq7/3 pnHLo94Cw6XuaQF7 iVqVIxVnKwigdEsedE1TDyfCL47SdP8Tm2zkCNWrsmF6xAFn 4d8L+1D3rOUK+gPzb842kY9dDL4E2Ql3uZ8qeHD+DMD8Q5+EXn7 bgORI4o8CAwEA AaOCAbkwggG1MB8GA1UdIwQYMBaAFE5ZZr/zJQg BsorCsTPhPgFRe4IpMB0GA1Ud DgQWBBRY1Ubktc7WUgs+dTPB7T3DbdxD6TAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0T AQH/BAIwADAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwXQYDVR0gBFYw VDBIBgorBgEEAYKpMAEBMD owOAYIKwYBBQUHAgEWLGh0dHA6Ly93d3cuc3NsLmNv bS9yZXBvc2l0b3J5L3NzbF92MV9jcHMucGRmMA gGBmeBDAECATA3BgNVHR8EMDAu MCygKqAohiZodHRwOi8vY3JsLnNzbC5jb 20vU1NMY29tRnJlZVNTTENBLmNybDBj BggrBgEFBQcBAQRXMFUwMgYIKwYBBQUHMAKGJmh0dHA6Ly9jcnQuc3NsLmNvbS9T U0xjb21 GcmVlU1NMQ0EuY3J0MB8GCCsGAQUFBzAB hhNodHRwOi8vb2NzcC5zc2wu Y29tMDkGA1UdEQQyMDCCFHZvbHZveC5wb3podmFub3YuY29tghh3d3cudm9sdm94 LnBvemh2YW5vdi5jb20wDQKoZIhvcNAFBQADggEBADanIVYJ 6U 2TB3tYY4g9tl tOHOBG5aytYTTr38BzyE4yk9YweqF+iTykXeEhEenNTYIpy60e4C1HojnlC4s69j Pll4ixlZu9Mi //QXZN5wEizqePlWqhotLkVTSayf698aUJWi78vxRsQa691t+NNB uGdmePxBI8R7KDTYXeI/oVtfijBDxDRoujnvaM8IMcIPzOxg1W7j8n0YvDVXfgc+ iKejgiLNALwj3rAPMjiHyuLY y8M4x21hW4g5N0+ZLij0br3ugFxrkyAQ9e4Ovsiy DM7RKUsGUgMhuet2vd9x1/rnAM nrLC26vi0Oa362CPl5lhxGftHa/dqgt8xaDZIZ CEE= -----ENDCERTIFICATE----- Тепер виходимо з режиму редагування тексту, натиснувши клавішу Esc , і зберігаємо файл: :wq
У ReadyNAS сервер Apache використовує для mod_ssl "склеєний" файл, в якому знаходяться розшифрований приватний ключ (не видається клієнту) і сертифікат сервера, виданий центром сертифікації на попередньому етапі. Тому нам залишилося з'єднати в один файл приватний ключ і сертифікат і отриманий файл зберегти в папку з налаштуваннями веб-сервера. openssl rsa -in volvox.key -out volvox_decrypted.key --> Об'єднуємо приватний ключ та сертифікат: cat volvox.key volvox.crt > apache.pem Переміщуємо файл з ключем і сертифікатом у папку з налаштуваннями сервера: mv apache.pem /etc/frontview/apache/apache.pem Перезапускаємо сервер Apache: apache-ssl -f /etc/frontview/apache/httpd.conf -k restart
З цього моменту файл-сервер Netgear ReadyNAS використовує довірений сертифікат, що дозволяє комфортно працювати з веб-інтерфейсом та безпечно підключатися за протоколом WebDAV.
