Select Page

QNAP QTS 4.3 Tutorial – Verbindung absichern mit einem SSL-Zertifikat

QNAP QTS 4.3 Tutorial – Verbindung absichern mit einem SSL-Zertifikat

In unserem letzten Tutorial haben wir Euch die myQNAPcloud vorgestellt. Diese Funktion erlaubt es Euch, unkompliziert von außen auf euer NAS zugreifen zu können und bietet auch die erforderlichen Assistenten und Einstellungsmöglichkeiten. So ist auch dort die Möglichkeit gegeben, ein SSL-Zertifikat einzubinden, mit dem Ihr die Verbindung zu eurem NAS absichern könnt. Dies ist jedoch nur eine Anlaufstelle. In unserem heutigen Tutorial geht es darum, Euch einen umfänglichen Einblick zu geben, wie ihr diese auf eurem QNAP-System einbindet und was man dabei beachten muss. Als Erstes müsst Ihr euch die Frage stellen: Möchte ich die myQNAPcloud mit all ihren Vor- und Nachteilen nutzen?

Anzeige*

Wir erinnern an dieser Stelle:

Ist CloudLink aktiviert und man nutzt diesen Dienst von Außen, werden alle Daten, die man zwischen dem QNAP-NAS und seinem Endgerät überträgt, über QNAP-Server geleitet. Beim ersten Aufruf dieses Menüpunkts werden wir darauf hingewiesen, dass wir keine vertraulichen oder großen Datenmengen übertragen sollen.

Werden auf dem NAS sensible Daten gespeichert, die auch von außen erreichbar sein müssen, ist es besser, die myQNAPcloud nicht zu nutzen.

Ein SSL-Zertifikat über myQNAPcloud einrichten

Zur Wiederholung: in der myQNAPcloud können wir zwischen zwei verschiedenen Zertifikaten wählen:

  • myQNAPcloud SSL Zertifikat
  • Let’s Encrypt SSL Zertifikat

An dieser Stelle gewährt QNAP lediglich die Möglichkeit, “neue” Zertifikate zu erstellen. Eine Funktion, bereits vorhandene Zertifikate einzubinden, ist hier nicht vorgesehen. Das ist gar nicht so schlimm, wenn man bisher kein eigenes Zertifikat eingerichtet hat und/oder auch keinen Wert darauf legt, dass das NAS über eine eigene Domain erreichbar sein soll.

Bei dem “myQNAPcloud SSL Zertifikat” muss jedoch beachtet werden:

  • Es ist kostenpflichtig
  • Es lässt sich lediglich für ein QNAP-NAS nutzen

Nun muss die Tatsache, dass ein SSL-Zertifikat kostenpflichtig ist, kein Nachteil sein. Man “erkauft” sich – allgemein gesagt – gewisse Vorteile:

  • So sind auch kostenpflichtige Zertifikate zwar nur auf eine bestimmte Dauer ausgelegt, bis sie wieder ablaufen, aber diese Gültigkeitsdauer ist mit mehreren Jahren i. d. R. länger als bei den kostenlosen, die meistens eine Gültigkeit von nur wenigen Monaten haben und somit gefühlt “ständig” auf dem NAS aktualisiert werden müssen.
  • Während einfache, meist kostenlose Zertifikate oder Zertifikate der unteren Preiskategorie meist nur für eine (Sub-)Domain gültig sind, handelt es sich bei den Kostenpflichtigen meist um sog. Wildcard-SSL-Zertifikate, welches für die Domain *.meineDomain.de gültig sind, was bedeutet, dass das Zertifikat sowohl für die Hauptdomain als auch für alle bisherigen, aber auch alle irgendwann in der Zukunft eingerichteten Subdomains, gültig ist. Man muss hier also nicht für jede Subdomain sein eigenes Zertifikat erstellen.

Einige Webhosting-Anbieter bieten zu ihren Paketen meist auch ein kostenloses “Single-Domain-Zertifikat” an, was dann für eine (Sub-)Domain gültig ist und geben die Möglichkeit, das “Basis-Zertifikat” gegen Bezahlung aufzuwerten.

Kauft ihr bei QNAP ein “myQNAPcloud SSL Zertifikat”, muss Euch weiterhin bewusst sein, dass ihr das Zertifikat nur eingeschränkt nutzen könnt. So gibt QNAP den Hinweis beim Kauf eines Zertifikats im QNAP-Shop:

Bitte beachten Sie, dass ein myQNAPcloud SSL Zertifikat nur an einem QNAP NAS mit QTS 4.2 oder aktueller verwendet werden kann.

Außerdem:

Beachten Sie, dass myQNAPcloud SSL Zertifikate nur mit myQNAPcloud-DDNS-Domainnamen genutzt werden können. Ihr Zertifikat wird mit Ihrer aktuellen angemeldeten myQNAPcloud-ID (QID) verknüpft und kann nicht auf ein anderes Konto übertragen werden.

Wir wählen daher für uns die kostenlose Variante: das Let’s Encrypt Zertifikat

Wir wechseln nun wieder in die App myQNAPcloud und navigieren dort auf der linken Seite zum Menüpunkt “SSL-Zertifikate”

Hier wählen wir bei Let’s Encrypt die Schaltfläche “Herunterladen und Installieren” worauf sich ein Fenster öffnet, in welchem der Domainname, für dass das Zertifikat ausgestellt werden soll, angezeigt wird und wir außerdem noch die Möglichkeit haben, unserem QNAP-NAS mitzugeben, dass es das Zertifikat vor Ablauf der Gültigkeit “automatisch erneuern” soll. Diese Option haken wir natürlich an. Wir müssen uns damit keine Gedanken mehr um die manuelle Verlängerung machen und entgehen somit der Verlegenheit, nur noch eine unsichere Verbindung zum NAS zu haben, weil wir die Verlängerung nicht durchführen konnten – sei es durch Urlaub, einer Geschäftsreise oder wir haben es schlicht vergessen – und das Zertifikat abgelaufen ist.

Natürlich erscheint an dieser Stelle ein Hinweis, dass Let’s Encrypt ein Zertifikatsdienst eines Drittherstellers ist und man doch für eine optimale Kompatibilität ein myQNAPcloud-SSL-Zertifikat verwenden soll. Wir nehmen diesen Hinweis zur Kenntnis und klicken auf “Bestätigen”.

Nachdem das QNAP-NAS eine Verbindung ins Internet und zu den entsprechenden Servern aufgebaut hat, meldet QTS, dass sich das Zertifikat geändert hat und man die Seite aktualisieren soll.

Nachdem wir die Seite aktualisiert und uns neu angemeldet haben, wechseln wir wieder zur myQNAPcloud und dort zum Menüpunkt SSL-Zertifikat. Wie wir nun sehen können, wurde das Zertifikat erfolgreich erstellt und automatisch eingerichtet. In der Übersicht sind die Domain, die Zertifizierungsstelle, das Antrags- und Enddatum aufgeführt, wie auch die Möglichkeit, die automatische Erneuerung des Zertifikats wieder zu (de-)aktivieren.

Wie Ihr seht, ist das Zertifikat ausschließlich für eure myQNAPcloud-ID gültig. Euch genügt aber diese QNAP-DDNS-Adresse nicht und/oder seid zum Schluss gekommen, dass Ihr lieber eure eigene Domain nutzen wollt, um euer NAS übers Internet erreichbar zu machen, so kann man das Let’s Encryp Zertifikat für die QNAP-ID wieder entfernen, indem man auf die Schaltfläche “Freigeben” klickt. Daraufhin öffnet sich wieder ein Hinweisfenster, was Euch darüber informiert, dass das Zertifikat von diesem Gerät gelöscht wird und man es auf einem anderen herunterladen und installieren kann. Wir “Bestätigen”.

Kurz darauf erscheint wieder die bekannte Meldung von Bild 2, in der wir darauf aufmerksam gemacht werden, dass sich das SSL-Zertifikat geändert hat und wir den Browser neu laden sollen. Damit ist das zuvor installierte Zertifikat vom Gerät entfernt.

Zertifikat ohne die Nutzung von myQNAPcloud einbinden

Zwei Gründe, warum man die myQNAPcloud nicht nutzen möchte, könnten sein:

  • Wir wollen unsere eigene Domain nutzen um aus dem Internet auf das QNAP-NAS zugreifen zu können
  • Wir haben Sicherheitsbedenken, da bei der Verwendung von CloudLink unsere Daten über QNAP-Server geleitet werden
  • usw.

Unsere Anlaufstelle in dieser Variante ist, da wir die myQNAPcloud nicht nutzen, die Systemsteuerung. Dort navigieren wir auf der linken Seite im Bereich “System” zum Menüpunkt “Sicherheit”…

…und wählen anschließend den Reiter “Zertifikat & privater Schlüssel”.

Anzeige*

In dieser Ansicht sehen wir, dass bereits ein Standardzertifikat verwendet wird und bis einen bestimmten Zeitraum gültig ist. Da QNAP aber nicht vorher weiß, welche Domain der spätere Anwender nutzen wird, ist dieses Standardzertifikat nicht dafür ausgelegt, unsere Verbindung über die eigene Domain abzusichern.

Wir ersetzen daher das Zertifikat indem wir auf die Schaltfläche “Zertifikat ersetzen” klicken. Hier haben wir nun drei Möglichkeiten:

  • Zertifikat importieren
    Diese Variante eignet sich für den Fall, dass Ihr bereits ein vorhandenes Zertifikat habt und dieses nun auf eurem QNAS-NAS einrichten wollt
  • Von Let’s Encrypt beziehen
    Diese Variante wählt man, wenn Ihr bisher noch kein eigenes Zertifikat habt und/oder ein neues einrichten wollt.
  • Selbst signiertes Zertifikat erstellen
    Nicht empfohlen, da hier beim Zugriff auf das NAS immer eine Sicherheitsmeldung erscheint, dass das Zertifikat nicht von einer vertrauenswürdigen Stelle ausgestellt wurde. Dies kann auf Dauer recht nervig werden. Hostet man zudem noch seine eigene Webseite auf dem QNAP-NAS, verärgert man u. U. auch seine Nutzer damit. Außerdem erwecken ständige Sicherheitswarnmeldungen nicht unbedingt Vertrauen seitens der Besucher. Aus diesem Grund vernachlässigen wir diese Option in unserem Tutorial.

Von Let’s Encrypt beziehen

Wir wollen ein neues Zertifikat für unser QNAP-NAS erstellen, wählen im Drop-Down-Menü “Von Let’s Encrypt beziehen” und klicken auf “Weiter”. Im nächsten Fenster müssen wir weitere Angaben zum neuen Zertifikat machen:

  • Domänenamen
    Also unsere Domain, für welches das Zertifikat gültig sein soll
  • eMail
    Eine Kontaktadresse, z. B. ssl-admin@meinedomain.de
  • Alternativer Name
    Diese Angabe ist optional und kann auch leer gelassen werden. In diesem Feld können Aliasse angegeben werden, z. B. www1.meinedomain.de, www2.meinedomain.de usw.

Wir klicken zum Abschluss auf “Übernehmen”.

Nach kurzer Zeit ist das Zertifikat nun eingerichtet und wird in der Übersicht nun anstelle des QNAP-Standardzertifikats angezeigt.

Bitte beachtet an dieser Stelle:

  • damit das Zertifikat erfolgreich eingerichtet bzw. verlängert werden kann, muss Port 80 an eurem Router geöffnet sein und an euer QNAP-NAS weitergeleitet werden
  • Das Zertifikat ist nur 3 Monate gültig und muss innerhalb dieser drei Monate wieder erneuert werden. Dies geschieht hier – anders als bei der Nutzung von myQNAPcloud – “nicht automatisch!” Eine Hilfestellung gibt es jedoch seitens Let’s Encrypt: Kurz bevor das Zertifikat “droht” abzulaufen, werden wir darüber per Mail (die Mail-Adresse, die wir zuvor in der Maske im Feld eMail angegeben hatten!) benachrichtigt und können anschließend die Verlängerung durchführen. Das neue Zertifikat wird dann allerdings nicht mehr über “Von Let’s Encrypt beziehen” sondern über “Zertifikat importieren” im NAS eingebunden!

Zertifikat importieren

Wir haben bereits ein Zertifikat und wollen dieses nun auf unserem QNAP-NAS importieren. Wir wählen im Dropdown-Menü “Zertifikat importieren” aus und klicken anschließend auf “Weiter”.

Im nachfolgenden Fenster werden wir nach dem Zertifikat, dem privaten Schlüssel und – optional – nach einem Zwischenzertifikat gefragt. Über die Schaltflächen “Durchsuchen” wählen wir jeweils die erforderlichen Daten aus und “Übernehmen” alles.

Nachdem die Änderungen nun übernommen wurden, gelangen wir wieder zurück zur Übersicht “Zertifikat & privater Schlüssel”, wo dann auch weiteres zu unserem Zertifikat angegeben wird. In unserem Beispiel sind das:

Wie wir gesehen haben, gibt es komfortable Möglichkeiten mit myQNAPcloud, Zertifikate neu anzulegen und zu nutzen, wenn man gewisse Abstriche in Kauf nimmt, so ist z. B. die Nutzung der eigenen Domain über myQNAPcloud nicht möglich. Auf der anderen Seite ist die Neuerstellung (von Let’s Encrypt) oder das Importieren von bestehenden Zertifikaten auch nicht minder aufwendiger. Mehraufwand hat man hier lediglich nur, wenn die Zertifikate eine kurze Laufzeit haben und man diese in regelmäßigen Abständen auf dem NAS erneuern muss.

Das Thema Sicherheit sollte in der heutigen Zeit sehr groß geschrieben werden und daher empfehlen wir eindringlich die Installation von Zertifikaten, damit eure Verbindung zu eurem NAS Zuhause immer gesichert abläuft. Egal, für welche Variante Ihr euch entscheidet: nutzt auf jeden Fall eine davon!

Qnap NAS zu Hammerpreis!


Anzeige*

Aktuelle Angebote!

Bei den zeitlich limitierten Schnäppchen findest Du jede Menge nützliche Gadgets. Über den Shop-Button gelangst Du zur Übersicht.

Entdecke gadgetChecks.de!

Reviews

Angebote

News

Bildquelle: Titelbild Mockup (Graphictwister)

*Transparenz!

= externe Links /// + Banner = Partner-Links - Wenn Du über diese einkaufst unterstützt du uns mit einer kleinen Provision, bei unverändertem Preis. Übersicht aller Partnerprogramme /// Preise gelten zum Zeitpunkt der Veröffentlichung - Informationen & Disclaimer  /// ** = Ecovacs Tracking-Link

Euer Wunsch-Gadget bei uns im Test

Damit ihr beim nächsten Gadget-Shopping keine böse Überraschung erfahrt, könnt ihr uns eure geplante Anschaffung mitteilen, wir versuchen dann ein Review für Euch durchzuführen. Bitte habt dafür Verständnis, dass das Gerät hierfür meist von mehreren Lesern genannt werden muss.