投稿日: 投稿者: tacsan

Synology NAS への接続を SSL通信化

Windows PC ネットワーク関連ノウハウ
Synology NASへのアクセスを HTTPS通信にする
 
SynologyのNASを導入した結果、自宅や出先での作業が劇的に効率化された。NASがこんなにも便利に使用できるならば、インターネット経由での利用をもっと拡大していきたい。
 
「Synology Drive」でのファイル同期とは
 
そこで、更なるセキュリティ強化対策として、Synology NASへのアクセスを、 SSL証明書を入手してHTTPS通信にすることにした。
 

 

スポンサー リンク

 

 
 
 
 
 
1. インターネット経由での NASへのアクセスについて
 
ネット経由での Synology NASへのアクセスについて

★ 「Quick Connect」という便利な仕組みを利用して接続すれば、ルーターのポートフォワーディング設定など不要で、何もしなくて良い。

★ しかし、ディフォルトのままだと「http://QuickConnect.to/xxxxx」というHTTP通信になっている。

★ これを「https://QuickConnect.to/xxxxx」というHTTPS通信にするには、SSLの『証明書』が必要になる。

★ 証明書は、『ホスト名』に対して発行されるので、ドメインを取得してホスト名を割り当てる必要がある。

★ Synology NAS には無料で利用できるDDNSサービスがあり、これを利用して『ホスト名』の設定が出来る。
【 Synology DDNS はサーバに1つしか取得できない!

★ Synology NAS には、「Let's Encrypt」から電子証明書を取得し、認証を自動で行う仕組みも用意されている。

★ DDNSで「https://xxx.yyy.zz」のような『ホスト名』での接続にすると、ルーターのポートフォワーディング設定が必要になる。
 
NASへのアクセスに、証明書は必要か?
①.世の中の流れは、HTTPS。
②.ユーザーIDやパスワードは、暗号化すべき。
③.ファイルの受け渡しも、暗号化通信が理想。
 
 
 
2. DDNSサービスによるホスト名の割り当て
 
DSM(DiskStaionManager)から、「コントロールパネル」を開き「外部アクセス」を選択する。
「コントロールパネル」を開き「外部アクセス」を選択する
 
「DDNS」タブから「追加」をクリックする。
「DDNS」タブから「追加」をクリックする
 
「ホスト名」を設定する。
「ホスト名」を設定する
 
「ホスト名」の設定要領。
サービスプロバイダー:Synologyを選択
ホスト名:任意の文字列
ドメイン:プルダウンの中から好きなものを選択
Eメール:自動的に表示される
入力ができたら「テスト接続」をクリックし、ホスト名をテストする。 
 
「正常」と表示されたら、規約合意にチェックを入れて「OK」をクリックする。
「正常」と表示されたら、規約合意にチェックを入れて「OK」をクリックする
 
「Let's Encrypt から xxx 用の証明書を取得して、・・・」と表示されるので、「はい」をクリックする。
「Let's Encrypt から xxx 用の証明書を取得して、・・・」と表示されるので、「はい」をクリックする
 
Webサーバーが再起動される。
Webサーバーが再起動される
 
DDNSに、「ホスト名」が追加される。これで、「https://xxx.myds.me」でのアクセスが可能となる。
DDNSに、「ホスト名」が追加される
 
「ホスト名」が追加された後、「コントロールパネル」の「セキュリティ」を開き、「証明書」タブを選択すると、ディフォルトの証明書以外に、作成した「ホスト名」で Let's Encrypt の証明書が、自動的に追加されている。
作成した「ホスト名」に Let's Encrypt の証明書が、自動的に追加されている
 
この時点でアクセスしても、証明書が付いてこないので接続はできない。
この時点でアクセスしても、証明書が付いてこないので接続できない
 
 
 
3. ルーターのポートフォワーディング設定
 
DDNSで「https://xxx.yyy.zz」のような『ホスト名』での接続にすると、ルーターのポートフォワーディング設定が必要になる。
 
Synology の基本的なポート番号。
Synology の基本のポート番号
 
BUFFALOのルーターの場合、「エアステーション設定ツール」で「エアステーション設定ページ」を表示し、「詳細設定」をクリックする。
「エアステーション設定ページ」を表示し、「詳細設定」をクリックする
 
「ポート変換」で新規追加を行う。
「ポート変換」で新規追加を行う
 
変換するポート番号とNASのIPアドレスを入力する。
変換するポート番号とNASのIPアドレスを入力する
 
「ポート変換」の登録結果。
「ポート変換」の登録結果
 
DSM(HTTP接続)の 5000番 と DSM(HTTPS接続)の 5001番 を登録した。
 
※:Synology NAS には『Webサーバー』の機能もあるが、既に『Raspberry Pi でのWebサーバー』を立てているので、ポート番号「80」と「443」は使用できない。
 
 
 
4. 証明書の入れ替え
 
「ホスト名」を「DDNS」で作成した時に、 Let's Encrypt の証明書が自動的に追加され、ディフォルトの証明書と併せて2つになっている。
 
そこで、ディフォルトの証明書を削除し、SSLの証明書だけにする。
ディフォルトの証明書を削除し、SSLの証明書だけにする
 
削除しても良いかという赤い警告が出るが、「削除」する。
削除しても良いかという赤い警告が出るが、「削除」する
 
Let's Encrypt で発行された、SSLの証明書だけになる。
SSLの証明書だけになった
 
以上で、SSL証明書を入手しHTTPS通信にする設定は完了。
①.https://QuickConnect.to/xxxxx
②.https://yyyyy.myDS.me:5001 
で、DSMに接続できるようになった。
 
「https://yyyyy.myDS.me:5001」でアクセスすると、URLの左に【鍵】マークが表示されるようになった。
「https://yyyyy.myDS.me:5001」でのアクセス
 
「http://yyyyy.myDS.me:5000」でもアクセスできるが、【鍵】マークは表示されない。
「http://yyyyy.myDS.me:5000」でもアクセスできる
 
 
 
5. NASへのアクセスをHTTPSに限定する
 
仕上げに、「DSMにはSSL以外ではアクセスできない」ようにしておけば、更に安心できる。
 
「コントロールパネル」の「ネットワーク」を開き、「DSM設定」をクリックする。
「HTTP接続をHTTPSに自動リダイレクトする…」と、「HTTP/2 を有効にする」にチェックを入れて「適用」をクリックする
 
「HTTP接続をHTTPSに自動リダイレクトする…」と、「HTTP/2 を有効にする」にチェックを入れて「適用」をクリックする。
 
これで、「http://yyyyy.myDS.me:5000」でアクセスしても、「https://yyyyy.myDS.me:5001」にリダイレクトされる。
 
参考:
 

 

以上。
(2019.05.30)

 

 

スポンサー リンク

 

             

 

 

 

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください