Si queremos comunicarnos con nuestro Synology de manera segura usando la encriptación de datos en el proceso, debemos instalar un certificado de seguridad en nuestro NAS. Esto es, dirigirnos al NAS usando el protocolo SSL (HTTPS en lugar de HTTP) y añadiendo una capa de seguridad extra que impida la interceptación de datos por un tercero.
Habréis visto que tras conectarnos al NAS de manera remota, el navegador nos avisa de que la conexión no es segura mediante un icono en la barra de direcciones. El icono difiere de un navegador a otro, pero será algo similar a esto:
Synology ya incorporaba su propio certificado de seguridad, pero ahora ha añadido Let’s Encrypt, un certificado de seguridad abierto y gratuito, muy extendido entre las páginas web y mucho más cómodo de manejar que el propio de Synology.
Para poder usarlo tenemos que tener instalada la versión 6.0 de DSM o superior. Además de ello, vamos a usar el servicio DDNS como nombre de dominio al que añadirle el certificado Let’s Encrypt, por lo que tendremos que tenerlo activado. En otros tutoriales del blog hemos hablado ya del DDNS (por ejemplo para usar el servicio WebDAV). Asegúrate de tenerlo habilitado accediendo al Panel de control y a Acceso externo:
Si no disponemos ya de nuestra dirección DDNS (xxxxx.synology.me), es el momento de crearla pulsando sobre el botón Agregar. Synology nos ofrece el servicio gratuitamente y tan solo tendrás que rellenar los campos solicitados usando las mismas credenciales que ya creaste para habilitar el servicio Quickconnect.
Ahora ya podemos ir a la sección Seguridad, también dentro de Panel de control, e ir a la pestaña Certificado, para encontrarnos ya instalado el certificado por defecto de Synology. Pulsando sobre Agregar podremos instalar nuestro nuevo certificado Let’s Encrypt:
Elegimos la opción de añadir un nuevo certificado y continuamos con su instalación:
De entre todas las opciones posibles, elegimos la de obtener un certificado de Let’s Encrypt. En esta pantalla también podremos establecerlo como el certificado por defecto de nuestro NAS, si así lo deseamos (aunque también podremos hacerlo una vez instalado):
Ahora hemos de introducir el nombre de dominio al que vamos a asociar el certificado (nuestra dirección DDNS acabada en .synology.me), así como una dirección de correo electrónico. Desconozco a que se refieren con lo de «Nombre alternativo de sujeto», pero se puede dejar en blanco:
Edición: El «Nombre alternativo de sujeto», tal y como nos comenta JavierSC en los comentarios, se refiere a otras direcciones DDNS que apunten también a nuestro NAS (se pueden poner varias separadas por comas). Por supuesto también se puede dejar en blanco:
Unos segundos después nuestro certificado ya estará creado y en funcionamiento:
Podremos pulsar en el botón Configurar si queremos variar la asignación de uno u otro certificado para cada aplicación instalada en nuestro NAS Synology:
Por último, recuerda entrar en la sección Red del Panel de control para comprobar la pestaña Configuración de DSM. En ella aparecerá el puerto necesario para usar el protocolo SSL (HTTPS). Ese puerto (por defecto el 5001, aunque puedes cambiarlo) deberás abrirlo en tu router para que funcione correctamente. Si quieres también puedes establecer aquí, que a partir de ahora todas las comunicaciones HTTP sean redirigidas a HTTPS automáticamente:
Inicialmente el certificado tendrá una validez de 90 días y se renovará automáticamente por el sistema. Al parecer, en futuras versiones de DSM esto se podrá gestionar manualmente.
Edición: la caducidad del cerificado Let’s Encrypt hace que servicios como Cloud Station dejen de funcionar tras su renovación (si estáis usando el protocolo SSL para ese servicio, claro), ya que lo considera un certificado nuevo. Tenlo en cuenta porque posiblemente sea más útil usar el de Synology para ese servicio. Gracias JavierSC por el apunte.
6 comentarios en «Synology, HTTPS y Let’s Encrypt»
Buenas, me parece que hay que tener abierto el puerto 80 en el router y no lo has comentado
Que nos diga Haritz si la apertura del puerto 80 le soluciona el problema. Aunque es el puerto standard HTTP, yo no lo tengo redirigido al NAS.
Gracias Carlos por la pista.
Aunque hace algún tiempo de esta entrada, quiero comentar 2 cosas que a mi me han pasado.
Lo primero explicar que lo de «nombre alternativo del sujeto» son otras direcciones DDNS que apunten también a nuestro NAS. En mi caso tengo 3 (Pej. j.synology.me, j.noip.org y j.ddns.org) pues si quiero que las tres funcionen con el mismo certificado debo poner una de principal (pej j.synology.me) y las otras dos como alternativas.
Al dejar Let´s Encrypt como unico certificado cada vez que se renueva, que es que cada 90 dias, Cloud Station deja de sincronizar archivos (si esta configurado para que use el certificado) porque dice el certificado ha cambiado, y tienes que borrar la configuración del Cloud Station y hacerla de nuevo desde cero.. Para ello he dejado la siguiente configuración
Exclusivamente para Cloud Station, DS File o DS Get (cualquier aplicación de Synology movil o de PC) he dejado por defecto el certificado de synology, pues este no se renueva tan rápidamente y no da problemas con las aplicaciones de Synology.
Pero para entrar en el NAS desde otra red y otros servicios como sftp, photo o similar que se acceda desde aplicaciones que NO son de synology o el navegador, configuro el certificado de Let´s Encrypt que aunque se renueve cada 90 días no afecta, pues estos servicios solo lo consultan cuando se hace una llamada (al usar el sftp, etc)
Muchísimas gracias JavierSC por tu comentario. Ya he añadido al texto tus apuntes. Así da gusto.
Cuando hago todo el proceso, al darle a plicar cuando pongo el nombre del dominio y el correo elerctrónico, me aparece un error que indica: «Error en la operación. Vuelva a iniciar sesión en DSM e inténtelo de nuevo». Hago lo que me indica y vuelvo a obtener el mismo error. Si alguien sabe por que puede ser, gracias
Tengo el mismo problema, uso DSM 6.2-23739 y me pasa lo mismo, tengo el puerto 80 abierto y el 443 contra la nas, tengo instalado el westation pero he probado a pararlo para hacer el proceso y mismo resultado. Hay alguna manera de ver algún log de lo que pasa o de arreglarlo?