HOME  /Synology
 /Synology NASに自証証明書でHTTPSアクセスをする方法
2018年03月24日

Synology NASに自証証明書でHTTPSアクセスをする方法

 現在はSynologyにLet’s Encryptの無償SSLが利用できる様になった為、自証証明書の作成は必要はなくなりました。

新しい証明書の取得方法は下記URLを参照してください。

 ­Let’s Encryptの無償のSSL証明書の取得方法

しかし証明書回りの仕組みを理解する為に下記ドキュメントを残しておきます。

1.Synology サーバに自証証明書を作成する

自証証明書作成の考え方は、貴方が認証局(CA)になり、貴方の自宅のSynologyのサーバ証明書を作成するという考え方になります。

サーバ証明書のコモンネームは貴方がDDNSで取得したURL名になります。

1.コントロールパネルのセキュリティアイコンをダブルクリックして下さい。

 

2.上部の『証明書』タブを開いて、『追加ボタンを』をクリックします。

 

3.下記画面から「新しい証明書を追加してください」を実行します。

 

4.下記画面から自署証明書の作成を実行します。

 

5.認証局の設定を行います。

左上に「ルート証明書の作成」が表示されます。

これはサーバ証明書を証明する機関を表します。

・コモンネーム:自由な名前を付けて下さい。

・Eメール:貴方のメールアドレスです。

・国:プルダウンから日本を選択します。

・都道府県、都市名、組織、部門
英字で自由に入力して下さい。

次へで先に進みます。

 

5.サーバ証明書を作成します。

左上が「証明書の作成」に変わります。

以上で新しい証明書が作成されました。

 

2.作成した証明書をサーバをアクセスするWindowsPCの証明書に登録する

1.作った証明書をエクスポートします。

 

2.エクスポートされたファイルを解凍して開いてください。

自証証明書のファイル名が、DSMのVer5とVer6では変更になっています。

  Ver5の自証証明書 Ver6の自証証明書

Let’s Encrypt証明書
(参考)

秘密キー server.key privkey.pem privkey.pem
サーバ証明書 server.crt cert.pem cert.pem
中間証明書 ca.crt syno-ca-cert.pem chain.pem
その他 ca.key syno-ca-privkey.pem  

Ver6ではファイルがpemファイルになっていますが、中身は従来と同じです。

そこでVer6のファイル名をVer5当時のファイル名に変更して下さい。

下記ファイル名になります。


上記の『ca.crt』が認証局(CA)証明書になり、『server.crt』がサーバ証明書になります。
上記の二つをWindowsPCに登録します。

尚、Sever.keyは秘密鍵で証明書をインポートする時に使うものですが、今回は関係ありません。

 

3.『ca.crt』をダブルクリックして、『証明書のインストール』を実行します。

 

4.登録先を『ローカルコンピュータ』にします。

 

5.登録先を『信頼された証明機関』を選択して先に進みます。

 

6.完了を挿入して終了です。

 

7.『server.crt』も同様な手順で登録してください。

 

8.正しく登録されたかを下記の方法で確認してください

①Windowsのスタートメニュを右クリックして『ファイル名を指定して実行』を開きます。

②表示された画面に『certmgr.msc』を入力します。

③下記画面の『信頼されたルート証明機関』に先程登録した証明書が登録されています

※ゴミ証明書を作成した場合は、証明書を右クリックして削除して下さい。

 

5.https でアクセスする

Synology のサーバにアクセスする方法は下記になります。

https://url:ポート番号(https用ポート番号)
私のサイトの例ですとhttps://nw.myds.me:×××になります。

また自証証明書を使う、使わないでブラウザによりhttpsの挙動が異なります。

  証明書を登録した場合 証明書を登録しないでアクセスした場合
Internet Explorer エラーなしで接続 例外処理でアクセスはできるが『証明書』エラーが常に表示
Google Chrome エラーなしで接続 例外処理でアクセスはできるが『証明書』エラーが常に表示
Firefox 証明書を登録しても、初回のアクセスで例外処理が必要 初回のアクセスで例外処理をした後は、エラーなしで接続

※Firefoxだけ証明書なしでもエラーなしでhttps通信ができる様に見えますが、Windowsとしてhttps通信ができている状態ではないので、自証証明書を登録しないとhttps通信を使うWebDAVは利用できません。

以上でhttpsを使ってSynologyサーバをアクセスする事が可能になりました。