En este nuevo tutorial os cuento la forma rápida y fácil de obtener un certificado SSL gratuito para poderlo usar con vuestros NAS de Synology aunque también es perfectamente válido si tenéis un NAS del fabricante QNAP. Así, podréis usar la conexión al mismo de forma segura vía protocolo https, que dada la gran cantidad de infornación importante que guardamos cada día en el NAS, es muy recomendable.
Aunque existen numerosos tutoriales sobre la manera de crear un certificado para nuestros NAS de Synology (muchos de ellos en Inglés), no existe ninguno que sea fácil de seguir y la mayoría de ellos son muy enrevesados.
Requisitos
Para crear un certificado digital para nuestro dominio, previamente tendremos que cumplir unos requisitos mínimos. Necesitaremos un nombre de dominio (tipo masqueteclas.com) con el que vamos a registrar el certificado SSL gratuito.
Es muy importante que seamos los administradores del dominio y que tengamos a nuestra disposición la dirección de email que nos permita comprobar la propiedad del mismo (postmaster@, hostmaster@, webmaster@).
Crear una cuenta StartSSL gratuita
Usaremos el servicio StartSSL que nos permitirá crear un certificado SSL gratuito de clase 1, es decir, un certificado que nos permitirá asociarlo a un único dominio (los de clase 2, que en este caso son de pago, permiten asociar subdominios de tipo misubdominio.masqueteclas.com)
Lo primero, tras acceder a la web de StartSSL, pulsaremos el botón Sign-Up situado en la parte superior izquierda de la pantalla.
Tendremos entonces que rellenar el formulario mostrado (ver la siguiente imagen) con nuestros datos personales que serán asociados al certificado SSL gratuito que vamos a crear.
Pulsaremos el botón Continue y cuando nos aparezca una ventana emergente haremos click sobre el botón Ok. Tendremos que verificar la cuenta de correo con el código que habremos recibido en nuestro email. Lo pegamos en la caja de texto de la pantalla y pulsamos el botón Continue.
El servicio StartSSL nos preguntará si queremos generar una clave privada (private key). Haremos click en el botón Continue y esperaremos a que sea generada. Cuando termine, haremos click en Install para instalar el certificado digital en nuestro PC/Mac. Esto nos va a permitir acceder al panel de control de StartSSL sin necesidad de introducir usuario y contraseña.
Validación del dominio
Cuando terminemos con el registro, haremos click sobre la pestaña Validations Wizard. Seleccionaremos la opción Domain name validation y pulsaremos el botón Continue. Rellenaremos el nombre nuestro dominio principal y pulsaremos el botón Continue tal y como vemos a continuación.
Después de hacer esto, elegiremos la dirección de email donde queremos recibir el mensaje que nos permitirá comprobar la propiedad de dicho dominio y pulsaremos el botón Continue. En la opción de código de verificación que veremos en pantalla, introduciremos el código que hemos recibido en nuestro email y finalizaremos el asistente. En este momento, nuestro dominio estará validado.
Creando el certificado SSL gratuito
Pulsaremos en la pestaña Certification Wizard situada en el panel de control de StartSSL. En el cuadro desplegable de Certificate Target seleccionaremos el valor Web server SSL/TLS Certificate como se puede ver en la siguiente imagen y pulsaremos el botón Continue.
Elegimos la contraseña que queremos usar y pulsaremos el botón Continue. Si vemos en la siguiente imagen, existe el botón Skip para saltar este paso en el caso que previamente ya hayamos creado una clave privada y solicitado el certificado.
En este momento tendremos que guardar la clave privada del certificado. Para ello, seleccionamos todo el texto de la caja de texto mostrada en la siguiente imagen (desde ——BEGIN RSA PRIVATE KEY—– hasta el final) y lo pegaremos en un nuevo fichero que llamaremos ssl.key. Guardamos este fichero y después pulsaremos el botón Continue.
En el cuadro desplegable del siguiente paso, elegiremos el dominio primario que queremos validar con el certificado que estamos creando. Se nos mostrará el que colocamos al principio de este tutorial. Pulsamos el botón Continue.
Rellenaremos el subdominio que queremos usar con nuestro NAS (por ejemplo minas, nassynology, etc) y pulsamos nuevamente el botón Continue que parece en pantalla. En la siguiente pantalla del asistente, veremos resumen con el dominio y subdominio elegido y en la que tenemos que pulsar otra vez el botón Continue.
Nuestro certificado estará disponible en pocos minutos en la pestaña Tool Box. Mientras tanto, vamos a descifrar el archivo de clave privada de forma que no necesitemos una contraseña.
Descifrando el fichero ssl.key
Vamos a la pestaña Tool Box del panel de control StartSSL y pulsamos la opción Decrypt Private Key. Pegaremos en la primera caja de texto el contenido de la clave privada (situada en el fichero ssl.key) y en la segunda caja de texto la contraseña que establecimos en el apartado anterior. Pulsamos el botón Decrypt para llevar a cabo el descifrado del fichero.
Copiaremos la clave privada descifrada, que vemos en la caja de texto, como contenido de un nuevo fichero llamado certificate.key y lo guardaremos en nuestro equipo.
Obteniendo los certificados
Cuando los certificados estén creados, recibiremos en nuestro correo electrónico un enlace para descargarlos. Si por cualquier cosa no lo hemos recibido, vamos a la opción Panel de Control > Tool Box > Retrieve certificate, seleccionamos el subdominio y pulsamos el botón Continue.
Copiaremos el contenido de la caja de texto Retrieve Certificate (ver la siguiente imagen) en un nuevo fichero llamado certificate.crt que tendremos que guardar en nuestro disco duro.
Ahora haremos click sobre la opción StartCom CA Certificates del menú principal de Tool Box y descargaremos el fichero Class 1 Intermediate Server CA.
Instalando los certificados en el NAS
Antes de ver cómo se instala, como resumen, en nuestro disco duro tenemos que tener disponible los siguientes ficheros:
- certificate.key que contiene la clave privada descifrada
- certificate.crt que contiene el certificado para nuestro subdominio
- sub.class1.server.ca.pem que contiene el certificado correspondiente a Class 1 Intermediate Server CA.
Iniciaremos sesión en el DSM 5.2 de Synology con la cuenta de administración y vamos a la opción Panel de Control > Seguridad > Certificado y pulsamos el botón Importar certificado. Pulsaremos en orden cada uno de los tres botones Examinar y seleccionaremos los ficheros anteriores tal y como se muestra en la siguiente imagen. Para finalizar pulsaremos el botón OK.
El certificado SSL gratuito del NAS estará ahora instalado. Si iniciamos sesión a través del subdominio (en mi caso https://minas.masqueteclas.com), la conexión será segura y estará validada.
Espero que os haya parecido interesante el tutorial sobre como obtener un certificado SSL gratuito, si tenéis dudas podéis preguntármelas en los comentarios de este artículo, rellenando el formulario de contacto o en la cuenta de twitter @jmramirez. Nos leemos en el próximo.
Adiós, os!!
