証明書

証明書は、ウェブ(すべての HTTPS サービス)、メール、FTP をはじめ、Synology NAS の SSL サービスを安全に保護します。証明書があることで、ユーザーはサーバーと administrator の ID を確認し、秘密情報を送信することができます。

[コントロールパネル] > [セキュリティ] > [証明書] を選択すると、次のことが可能になります:

  • 証明書の追加。
  • 証明書の削除と編集。
  • 証明書のエクスポートと更新。
  • 証明書の構成。
  • 証明書署名要求の作成。

注:

  • 複数の証明書を、Synology NAS に追加してインポートできます。
  • [既定値としての証明書に設定します] をクリックすると、処理されている証明書がデフォルトの証明書として使用されます。元のデフォルトの証明書は、デフォルトとしてステータスを失います。

証明書の追加

証明書をインポートする:

以前エクスポートした証明書、または商用やサードパーティの証明書発行機関から取得した証明書をプライベート キーと一緒にインポートすると、Synology NAS が他のデバイスから信用されます。

  1. [Add (追加)] をクリックします。
  2. [新しい証明書の追加] を選択し、[次へ] をクリックします。
  3. 証明書に説明を入力して、[インポート証明書] を選択してください。[次へ] をクリックします。
  4. ウィザードの指示に従って証明書のインポートを完了してください。

注:

  • 任意で、一部の認証局が発行する証明書に中間証明を付けることができます。
  • 証明書は、X.509 PEM または DER 形式でなければなりません。
  • 秘密キーは ECC 形式と RSA 形式の両方をサポートしていますが、RSA 形式をパスフレーズで保護することはできません。

Let's Encrypt から証明書を取得する:

オープンで信頼性の高い証明書発行機関である Let's Encryptから、自動的に無償で安全な SSL/TLS 証明書を取得することができます。

  1. [Add (追加)] をクリックします。
  2. [新しい証明書の追加] を選択し、[次へ] をクリックします。
  3. [Let's Encrypt から証明書を取得する] を選択し、[次へ] をクリックします。
  4. 以下の情報を入力してください。
    • ドメイン名:ドメイン プロバイダーから登録したドメインを入力します。
    • 電子メール:証明書の登録に使用したEメール アドレスを入力します。
    • サブジェクトの別名:1 つの証明書で複数のドメインをカバーするには、ここに別のドメイン名を入力してください。Synology DDNS のドメイン名を以下の形式で入力して、ワイルドカード証明書を適用することができます:
      *.SYNOLOGY_DDNS_ドメイン_名前
  5. [完了] をクリックして設定を保存します。確定できたら、証明書は即座に Synology NAS にインポートされます。

注:

  • Let's Encrypt からの証明書は、特定数のEメール アカウントに対してしか登録できません。上限を超えた場合は、以前登録したEメールアカウントを使って別の証明書を取得してください。
  • Let's Encrypt からは1つのドメインにつき、特定の数の証明書しか登録できません。制限を超えた場合は、以下のいずれかを行ってください。
    • 現在のドメイン名を Subject Alternative Name (SAN) として入力し、証明書の要求には別のドメイン名を使用します。
    • *.SYNOLOGY_DDNS_ドメイン_名前 を入力して、SAN がワイルドカード証明書を適用できるようにします。
  • Let's Encrypt は、あなたのドメインに証明書を発行する前に、ドメインの確認を行います。Synology NAS とルーターの 80 ポートをオープンにして、インターネットからドメインを確認できるようにしておいてください。Let's Encrypt との別の通信についても、HTTPS を介してアクセスすると Synology NAS を安全に維持することができます。
  • Let's Encrypt が発行した証明書は、90 日間有効です。ドメインが確認されたら、証明書が無効になる前に自動的に DSM がその証明書を更新します。Synology NAS とルーターの 80 ポートをオープンにして、証明書を更新できるようにしておいてください。
  • ワイルドカード証明書は、Synology DDNS に対してのみ対応しています。

証明書を置き換える:

既存の証明書を使用したくない場合は、他の証明書と交換することができます。

  1. [Add (追加)] をクリックします。
  2. [既存の証明書と置き換える] を選択し、ドロップダウン メニューから不要な証明書を選択します。
  3. 指示に従って証明書を置き換えます。

証明書の削除と編集

証明書を削除するには:

  1. 不要な証明書を選択します。
  2. [操作] ドロップダウン メニューから [削除] を選択して証明書を削除します。

注:

  • デフォルトの証明書は削除できません。
  • デフォルト以外の証明書を削除する場合は、デフォルトの証明書が相当するサービスを引き継ぎます。デフォルトの証明書がこれらのサービスと完全に互換性がない場合があるため、注意が必要です。

証明書を編集する:

証明書の説明を編集したり、デフォルトの証明書とは異なる別の証明書を設定することもできます。

  1. 証明書を選択します。
  2. [操作] ドロップダウン メニューから [編集] を選択して、以下のいずれかを実行します。
    • 証明書の説明を変更し、[OK] をクリックします。
    • [デフォルトの証明書として設定する] チェックボックスにマークを付けて、デフォルトの証明書として設定し、[OK] をクリックします。

証明書のエクスポートと更新

証明書をエクスポートする:

管理やアーカイブのために既存の証明書をダウンロードし、別のユーザーのデバイスにもインポートして、Synology NAS とそれらのデバイスの間で信頼関係を築くことができます。エクスポートしたファイルには Synology NAS の証明書、プライベートキー、自署ルート証明書が含まれます。

  1. 証明書を選択します。
  2. [操作] ドロップダウンメニューから [証明書をエクスポート] を選択します。

証明書を更新する:

証明書の有効期限が切れる前に、このオプションで証明書を更新することができます。

  1. 証明書を選択します。
  2. [操作] ドロップダウンメニューから [証明書の更新] を選択し、[次へ] をクリックします。新しいプライベートキーと証明書署名要求が作成されます。
  3. 新しいプライベート キーと証明書署名要求を取得するには、[証明書を更新] をクリックします。新しい証明書署名要求を使って、別の証明機関が認証した証明書にも再適用することができます。

証明書の構成

証明書を構成する:

必要に応じて、サービスの証明書を別の証明書に変更することができます。

  1. [設定] をクリックして、[接続 タブを選択します。
  2. すべてのサービスと相当する証明書が表示されます。
  3. ターゲットのサービスの現在の証明書をクリックします。
  4. ドロップダウンメニューから適切な証明書を選択します。
  5. [OK] をクリックします。

注:

  • [システム デフォルト] 証明書はサービス リストにない接続に適用されます。

証明書をリセットする:

デフォルトの Synology 証明書にリセットできます。その場合、その他すべての証明書が Synology NAS から削除されます。

  1. [設定] をクリックして、[詳細設定] タブを選択します。
  2. [リセット証明書] セクションの [リセット] をクリックします。
  3. [はい] をクリックします。

証明書の修復:

証明書にエラーがある場合、その証明書を使用して登録されたサービスはアクセス不能になります。以下のオプションの中から選択して証明書を修復してください。

  • Let's Encrypt などの新しい証明書を適用する。
  • 証明書を再度インポートする。
  • サービスの証明書を別のものに変更する。

証明書署名要求 (CSR)

Let's Encrypt 発行の証明書に加え、他の商用証明書発行機関やサードパーティの証明書発行機関が発行した証明書にも適用できます。証明書を取得するには、以下を行ってください:

  • 証明書署名要求 (CSR) を作成する:Synology NAS が生成した、暗号化されたテキストであり、ドメイン名、組織名、所在地、電子メールアドレスなど証明書に記載される情報が含まれています。
  • 個人の ID と組織の ID を証明書発行機関に提供し、証明書署名要求のコモン名欄に入力したドメイン名の所有者があなたであることを証明してください。

証明書署名要求を作成する:

  1. [設定] をクリックして、[詳細設定] タブを選択します。
  2. [証明書署名要求 (CSR)] をクリックします。
  3. セットアップウィザードの手順に従って、証明書署名要求を作成、ダウンロードしてください。
  4. 確定するために、CSR と要求された情報を証明書発行機関にお送りください。

証明書発行機関が発行した証明書を受け取ったら、それとプライベート キーを一緒にインポートします。

注:

  • 証明書署名要求と一緒にプライベートキーも生成できます。認証局はこのプライベートキーを必要としませんので、Synology NAS のプライベートキーは安全な場所で大切に保管しておいてください。
証明書の追加
証明書の削除と編集
証明書のエクスポートと更新
証明書の構成
証明書署名要求 (CSR)