はじめに
httpsのページとして公開可能にするには、証明書が必要です。そうでないと、「このページはなりすましなどで危険」などとのメッセージがWeb ブラウザに表示されます。
ちゃんとした会社のホームページでも、このようなメッセージが依然として表示されるサイトが多くありますが、ちゃんとした会社であることを知っていたとしても心配になりますね。
あと、個人的にSynology NASを使用した写真の共有化やDS NoteなどのInternetを介したアプリを使用する場合も、同様の問題に対する解決策として証明書を取得した方が良いです。
Let’s Encriptionというボランティア団体によって個人でも証明書を取ることができる時代になりました。個人でサイトを立ち上げたのなら、是非、Let’s Encriptionの証明書を取得しましょう。
数ヶ月前の情報ですが、Let’s Encriptionが発行する証明書は、1億通を超えたとありました。
スポンサーリンク: ID6183593457
証明書
先日、証明書期限がきれるので、Let’s Encriptionの更新をマニュアルで実施しました。更新した証明書の期限は、3ヶ月後の日付に更新されていましたが、更新したはずが、WebブラウザのSafariの表示で証明書エラーが出るようになっていました。
クライアントの証明書エラーが出ているSafariの表示から、証明書の内容を確認してみると、以前の証明書の期限のままの日付を表示していました。
スポンサーリンク: ID4219953367
Let’s Encription証明書の取得
試行錯誤している内に、何度も証明書を取得(以下の設定)したため、取得制限に引っかかりしたりしました。どの証明書を既定の証明書に設定しても証明書が設定されずにいました。
Let’s Encription証明取得内容
- Domain : harikiri.diskstation.me
- Email : <my Email address>
- Subject Alternative Name : *.harikiri.diskstation.me
結局、試行錯誤の結果、Synology NASの証明書がこれまでに自己証明、Let’s Encriptionを含め複数あったものを、既定の証明書以外を削除することで解決しました。
Sarari表示から確認してみると、その証明書は最新のもになっていて解決したことを知ることができました。
サーバーに最新の証明書を強制的に使用させるには、NASの再起動が最も有効です。以下のように証明書を適切に設定して、サーバーの再起動というダイアログが出て再起動されたとしても、新しい証明書を使用しないことが何回もありました。最後は、NASの再起動により解決することができました。ウェブブラウザかNAS側か、いずれかは分かりませんが、キャッシャが関わっているものと思われます。
- DSM → コントロールパネル → セキュリティ → 証明書から、証明書をセレクトする
- 次に、構成(コンフィグレーション)をクリックし、当該NASに設定が必要なサーバーについて、その数だけ以下のように証明書を設定する
- コンフィグレーションでの証明書の設定は、証明局(Let’s Encript)からの取得、あるいは他のNASからのインポートにより、現に存在する証明書を選択する
- 基本的には、すべて同じ証明書を設定した後、「OK」を押すと、サーバーの再起動が開始されて、DSMに戻ってくる。
- しかし、このDSMに戻ってきても、ウェブブラウザから接続を試行してみると、以前の古いままの証明書になっていることがある。僕の経験では、ほとんどがそうでした。
- そこで、証明書を新しくしたものとして有効にするには、NASの再起動を実施することで、それが可能になります。
設定の注意点
- Synology RouterにLet’s Encription証明書を取得する時、及び、自動的に更新させるにはポート80 (及び443)を開けておく必要があります。
- 当サイトでは、複数のSynology製品があります。RouterとNAS x2 なのですが、80と443のポートは、もともとblogサーバーに設定されることが規定されています.証明書の取得と自動更新は、blogサーバーを介して行われることになります.
- したがって、取得したblogサーバー用NASの証明書をエクスポートして、その証明書を使って、その他のNASにインポートする方法で対応しています。
- ドメイン名に応じた証明書の取得数制限に引っかかった場合の対処法は、Emailアドレスを変更したり、ドメイン名を変えたり(その場合、必要としているドメイン名をSubject Alternative Nameに設定する)
- 以上の設定方法の記載は、以下のSynology Siteに説明があります。
Synology DDNSを使用してSynology SSL VPNとWebVPNを設定する方法 – Synology –
https://www.synology.com/ja-jp/knowledgebase/SRM/tutorial/VPN/How_to_set_up_Synology_SSL_VPN_and_WebVPN_using_Synology_DDNS_service
自動更新をする前に手動で更新したことがよくなかったのか。そもそも自動更新するかどうかの確認はできていませんでした.
追加 : 2022/12/20,Let’s Encription証明書が切れるタイミングだったので,手動で更新ぜすにblog サーバーを構築しているDS920+での証明書の自動更新が行われるか観察してみました.その結果,自動更新は行われず,blogサーバーは証明書が無いということで,アクセスが出来なくなっていました.自動更新ができなかった原因で気になることは,blot サーバーとてのNASとそのインターネットの出入り口となっているSynology Router があるのですが,Synology Routerの証明書をblog サーバーとはことなるDomain Nameで取得していたことです.同じDomain Nameを設定する必要があるかもしれません.現在は,blogサーバーのSynology NASとWi-Fi RouterであるSynolgoy Routerの証明書は,同一のDomain Nameに戻しました.あと3か月後に,自動更新ができるか観察してみます.
スポンサーリンク: ID6183593457
証明書の設定
DSMのセキュリティ > 証明書 に行き,Let’s Encript証明書を取得する.取得された証明書は,このウィンドウにリストとして追加される.設定タブを選ぶと,NASの各サービスにリストされた証明書のうち,どれを使用するのか設定することができる.すべてをLet’s Encript証明書にしてもいいし,Synologyから取得した証明書を設定してもいい.これを変更してOKすると,Web Serverが再起動して,証明書の再設定が行われる.
スポンサーリンク: ID4219953367
教訓
- Synology DS918+の証明書の設定において、期限切れと表示されている証明書(Let’s Encription)は、削除しておくべし。新しい証明書を作成またはインポートして、デフォルトに設定していたとしても、期限切れの証明書が依然として使用されていることがあるため
- そもそも、証明書を設定し直すとサーバーが再起動するはずです。再起動がない場合、証明書が更新されていないことを疑う必要があります。NASのDMSの不具合の可能性もあります。
スポンサーリンク: ID6183593457
その他情報
- RT2600acの証明書は?
- コントロールパネル → サービス → 証明書
スポンサーリンク: ID4219953367
編集履歴
2019/08/08 Mr. Harikiri 2020/12/31、追記 (教訓) 2021/02/26、追記 (blogサーバー用NASの証明書(Let’s Encript)は自動更新されていたが、80, 443ポートが空いていない、他のNASは自動更新されないので、自動更新された証明書をエクスポートして、それをインポートする運用で対応するしかない) 2022/11/13、文言整備 2022/12/20, 追記 (Let's Encriptの自動更新ができるかどうか挙動を確認したが自動更新されず) (証明書の設定)
用語の解説リンク、関連投稿および広告
AD-DS1621xsp
…end
AD-DS918p
…end
AD-DS920p
…end
Let’s Encription
NAS
…end
Synology
…end
無料
…end
自宅
…end
証明書
…end
40945DS1621xs+
台湾のSynology社のNAS製品です.
スポンサー広告 by Amazon -ID40945
40062スポンサー広告
Synologyのストアを表示
【【NAS用拡張ユニット】Synology DX517 [5ベイ / SATA対応/Synology DiskStation専用], by Amazon