시놀로지 NAS SSL을 적용해 보안 강화하기

시놀로지

앞서 소개해 드렸던 StartSSL을 통한 무료 SSL 인증서를 발급받아 시놀로지에 적용해 봤습니다.

당연한 얘기지만 시놀로지의 접속 주소와 인증서의 주소는 같아야 합니다.

참고 글

SSL 인증서 등록

synology_ssl_01

제어판의 보안을 클릭후 인증서 탭을 클릭, 인증서 가져오기 버튼을 클릭하면 발급받은 인증서를 시놀로지에 등록할수 있습니다. 개인키는 복호화된 개인키를 등록합니다. 암호화된 인증키는 잘못된 키라고 인식하지 못하네요.

다시 설명하면 개인키는 확장자가 key 인복호화된 파일, 인증서는 확장자가 crt 인 파일, 중간 인증서는 sub.class1.server.ca.pem을 등록하면 됩니다.

관련글

개인키와 인증서, 중간 인증서를 등록 후 확인을 클릭하면 등록이 완료됩니다.

SSL 접속 설정

synology_ssl_02

이제 https로 시놀로지를 접속하기 위해 약간의 설정을 해줘야 하는데 첫번째로 제어판 – 네트워크에서 ‘HTTPS 연결 활성화’를 체크해 https로 접속을 허용합니다. https를 사용하면 암호화되지 않은 http는 사실 필요가 없기때문에 리디렉션 및 보안된 연결등 해당 옵션을 전부 선택합니다.

synology_ssl_03

제어판 – 웹 서비스 부분도 https에 관련된 옵션을 활성화 합니다. 웹 서비스는 포토 스테이션과 메일 스테이션등 DSM과 별도로 80포트를 이용하는 웹서비스에 해당합니다.

synology_ssl_04

synology_ssl_05

설정을 마친 후 SSL이 잘 작동하는지 확인하면 끝입니다.

24 댓글. Leave new

  • 안녕하세요~! 좋은 정보 주신점 정말로 감사드립니다. :)

    저도 저혼자만이 아니라 여러명이 사용하게 되면서 SSL에 관심을 가지고 사용하려고 했는데요.

    startssl에서 발급받은 무료 인증서로 똑같이 따라했는데 인증서 가져오기에서 개인키와 인증서를 넣었습니다만, (인증서와 개인키가 일치하지 않습니다.) 라는 오류가 뜨면서 되질않습니다.

    혹시해서 유로 SSL를 구입하여 똑같이 하였습니다만, 똑같은 오류가 떠서 진행조차 못하고 있습니다.. ㅠ-ㅠ..

    도움좀 드려도될까요??

    이 블로그에서 매번 좋은 지식들만 얻고 가네요.. 정말로 감사합니다.

    응답
    • 도움좀 드려도될까요?? 오타가 있네요 ㅋㅋ…

      도움좀 요청해도될까요??.. ㅠㅠ 답변 부탁드립니다!…

    • 안녕하세요. koko352님.
      오류의 이유로 의심되는것은 우선 개인키가 암호화 되어있는지 확인해 보시고 암호화된 개인키라면 복호화 후 시놀로지에 적용하시면 될것 같습니다. (시놀로지는 암호화된 개인키를 지원하지 않습니다.) 이 문제가 아니라면 개인키와 사이트 인증서(koko님의 사이트 인증서 입니다.), 발급 기관의 중간 인증서를 다시 한번 확인 후 시놀로지에 적용해 보세요.

      사실 시놀로지에 인증서를 적용하는 것 자체는 간단합니다만 위의 개인키와 인증서들을 해깔릴수 있으므로 차근차근 해보시면 될것 긑습니다.

    • 답변 감사합니다 :)

      —–BEGIN RSA PRIVATE KEY—– 이 부분이 있는 개인키로 하는것이 맞지요?

      개인키, 인증서, 중간 인증서가 이상하다고 하기에는 유료 ssl 신청하면서 신청한 곳에서 개인키를 대신 생성해주고 인증서, 중간인증서 모두 재대로 받았습니다. startssl에서 똑같은 현상이 보여서 혹시해서 유료 신청해봤는데 똑같은 오류만 뿜어서 정보바다를 계속 모험중에 있습니다. ㅠㅠ… 혹시 해놀은 안되는 기능인가요..?

    • 복호화된 개인키와 인증서 모두 확실하다면 안될 이유가 없는데 저도 궁금하네요.
      참고로 저 역시 해놀로지를 사용합니다 하핫

    • 죄송하지만, DSM 버전이 몇이시나요??

    • 현재 사용하고 있는 버전은 DSM 5.2-5592 Update 4 입니다.

    • 같은 버전인데… 이상하게 저는 안되네요..

      만약 제가 인증서가 이상해서 안된다면 startssl이나 유로 ssl에서도 둘중 하나만

      안되면되는데.. 둘다 안되니 많이 난감하네요.. ㅠ…

      혹시 발급받은 도메인이 dns라든가 ddns로 시놀로지자체 기능으로 연결이 되어있어야하나요?..

    • 도메인은 최상위 도메인이여야 합니다. 2차 도메인인 경우 1차 도메인을 포함하기 때문에 koko님께서 운영중인 도메인 (dns 서비스나 이에 준하는 서비스 ex dnsever) 이여야 합니다. ddns 주소는 1차 도메인을 소유하지 않기때문에 (ddns 서비스 측이 1차 도메인 소유) 불가능합니다.

    • 도메인은 .net 최상위 도메인을 사용합니다. 그리고 시놀로지 dns서버 패키지로 도메인을 연결할려고 했는데 되질않아서 도메인 구입한 업체 dns 기능에서 a레코드에 등록해서 사용중입니다. 딱히 문제가 없지않나요..??

    • 최상위 도메인을 사용하고 계신다면 문제가 없습니다.
      말씀하신 환경을 보면 문제될게 없는데 이상하네요…

    • 한번 발급 업체에 문의 해봐야겠습니다.. ㅠ-ㅠ..

      DNS 서버 패키지를 시놀로지에 설치한 후, 글 올려주신것을 바탕으로 따라 해봤습니다만,

      이게 정말로 잘되는지 잘 모르겠습니다. DNS 서버 패키지 – 설정 에서 TCP연결 수와 반복 쿼리 수가 올라가야 정상아닌가요??..

      계속 질문만 드려서 정말로 죄송합니다.. ㅠ

      이런 좋은 정보들은 이 블로그밖에 없네요.. 항상 감사드립니다. (__)

    • dns 같은 경우 아시겠지만 tcp/udp 프로토콜을 둘다 사용하며 udp 를 90% 사용하기 때문에 tcp 사용은 미비합니다.

      제 블로그 내용들이 주로 제 경험에서 나온 삽질이라 제 블로그 글을 보시는 분들이 최대한 삽질을 피하게 하려는게 취지라 질문은 얼마든지 환영합니다.

      블로그에 시놀로지 / 서버 관련된 내용들은 실제 제가 사용하는 구성이기도 하구요. 만일 잘 안된다면 차근차근 해보시면 분명 되실겁니다. 화이팅 하세요^^

    • 감사합니다. (__)

      죄송하지만, 한가지 질문 더 하겠습니다.

      도메인 구입 업체에서 제공하는 도메인 호스트부분이 그 도메인을 네임서버 도메인으로 사용할때 사용하는거로 알고 있습니다.

      그 호스트부분에 ns.도메인과 아이피를 적는곳에 꼭 ns.도메인이여야하나요?..

      가x아 같은곳이 아니라 카x24같은곳은 호스트부분에 ns.를 못사용하게 되어있습니다.

      그래서 ds.도메인이라든가 아무거나 사용해도되나요??

    • 네임서버를 설정하고 연결할때 사용하는 도메인, 예로 ns.mystor.net 이라고 할때 앞에 ns 부분은 관례적으로 사용하는 것이지 필수조건은 아닙니다. 예로 삼성같은 경우는 네임서버 도메인을 red, green, blue 로 사용하고 있죠. koko님 맘대로 설정하셔도 됩니다

    • 감사합니다. 바로 테스트해봤는데 dns 연결 잘되는것같습니다.

      a레코드 만들어서 2차 도메인까지 할당해줘봤는데 되는거 보니 연결은 잘된것같습니다. 정말 감사합니다 (__)!!

      http://dnscheck.pingdom.com/ 에서 검사하면 오류가 많이 있지만… 뭐.. 괜찮겠죠…… ㄷㅅㄷ…

      시놀로지의 부가기능들이 정말 쉬운것같은데 막상하면 오류 뿜고.. 문제가 있어서 골치거리입니다.. 저만 그러는지는 모르겠지만, 정말 존경스럽습니다.. ㅠ

  • 인증서 적용은 잘되는 편입니다만 몇 가지 문제가 있는 것같습니다.

    1.웹서버동작이 제대로 안돌아갑니다.
    예를들어 192.168.0.10이 서버주소라면 192.168.0.10을 브라우저에 입력하면 http://192.168.0.10의 웹페이지가 상당히 잘열립니다. 그러나 도메인을 DNSever과 같은 업체와 연동하게될 경우에는 http://www.abcd.com처럼 주소를 입력하면 열리지 않는 문제가 있습니다. 그러나 https://www.abcd.com하면 열리구요… 80포트만 죽어버립니다.
    ISP문제인줄알았지만 핸드폰에서 IP를 치면 웹서버가 열리고 도메인을 치면 열리지가 않네요… 구지 80이 아닌 443의 https://를 이용하세요! 라고 말하신다면 어쩔수없지만 aa.abcd.com과 같이 2차도메인을 연결하게되면 www.abcd.com에 종속된 도메인에 대한 인증서가 아니기 때문에 2차도메인 접속시 이 페이지의 인증서를 확인할 수없습니다. 와 같은 문제가 생기거든요. 와일드카드 형태의 인증서는 생각보다 단가가 나가고…

    그런데 웃긴게 DSM에서 자체서명 인증서를 반영하면 또 됩니다.
    그런데 전자서명이된 기관의 인증서를 반영하면 또 80은 죽어버리네요.. (도메인에 한해서 IP는 되구요.)
    웹서버에 한정되서만 안되는데 그 이유를 도저히 모르겠습니다. ㅠ.ㅠ 혹시나 이러한 문제를 겪으신분이나 PG님께서 동일증상을 겪으셨다면 알려주실수있는지요.

    응답
    • 답변 수정합니다. 웹서버라는 것이 시놀로지 자체라는 걸로 이해하고 답변을 작성했네요. 다시 읽어보니 웹스테이션에 관련된 내용으로 이해했습니다^^;;

      네 시놀로지가 다중 인증서를 지원하지 않아 DSM과 웹서버의 도메인을 분리해서 사용할 경우 문제가 될수도 있습니다.

      이건 시놀로지 구조적인 문제라 어쩔수가 없습니다.

      —————————————————
      DNSever를 사용해보지 않아서 어떤 방식으로 연결되는지는 모르겠지만

      구조적으로 SSL 인증서는 제일 마지막단에서 나타낼 도메인 주소에 대한 인증서 이므로 아이피가 아닌 도메인으로 접속할때 올바른 인증서로 나와야 정상입니다. 오히려 아이피로 접근했을때 올바른 인증서가 아니라는 메시지가 나와야 하는데요.

      시놀로지에서 http(80)->https(443)로 리디렉트 하는 기능이 있는데 사실 이걸 적용하지 않아도 잘 작동해야지 맞는겁니다. 다시 말해 포트에 상관없이 작동합니다.

      제가 설정해서 사용하면서 VerryHard님과 같은 이슈를 겪어보지 못했기 때문에 답변이 어렵네요.

      StartSSL 같은 경우 무료일때 와일드 카드를 지원하지 않는 대신 여러개의 인증서를 만들수 있기 때문에 번거롭더라도 여러개를 만드는걸로 해결이 가능합니다.

  • 안녕하세요.
    여러곳들 들락날락 거리다 여기를 들어왔는데 질문이 하나 있습니다…ㅠㅜ
    제가 ssl 인증서를 유료로 구입을 하여 xpenology에 설치를 하려는데 잘못된 개인키라면서 설치가 안됩니다…
    csr 생성은 업체에 맡겨서 발급을 받았습니다.
    또한 인증서를 신청할때 비밀번호를 입력하라고 하여서 입력을 하였는데 개인키가 암호화가 되있어서 설치가 안되는걸까요…ㅠㅜ
    그리고 지금은 startssl님이 언급한곳에서 발급받은걸로 쓰고 있습니다…
    그런대 모바일에서 홈페이지 자체는 접속이 되도 게시글로는 들어가지지 않아 ssl인증서의 오류로 생각이 되어 유료로 돈을 주고 인증서를 하나 신청을 한것입니다…
    이 두가지의 오류가 제가 생각한것이 맞다면 내일 인증서 발급 업체에 암호화 안되어있는 개인키를 다시 받아서 적용하면 두가지가 한번에 해결이 되는건대 ssl 인증서가 암호화로 안된게 해결이 된다해도 모바일에서 게시글로 진입이 안되는문제는 어떻게 해결해야할지 여쭤봅니다…

    장문의 질문을 읽어주셔서 감사합니다….ㅠㅜ

    응답
    • 본문에도 나와있듯이 암호화된 키는 지원하지 않습니다.

      모바일에서 게시글이 진입이 안된다는 의미는 시놀로지에 접속이 안된다는 얘기인가요? 게시글이라는 의미를 잘 모르겠네요.

      SSL은 프로토콜이기 때문에 정상적으로 설정만 되었다면 그 어떤 기능에도 영향을 주지 않습니다. 단지 http에서 https 로 변경되는 것 뿐이니까요.

    • 문제는 워드프레스로 블로그를 하나 만들었는데 주소가https 로 고정이 되서 http로 진입이 안되요…
      그러면 암호화된 키를 풀고 넣어 보려고하는데 암호화를 putty key generator라는걸로 암호화를 없엘수 있나요…?

    • 아 해결했습니다…
      제길…
      openssh로 내보내기를 하니까 정상적으로 붙네요…ㅋㅋㅋ
      고민해주셔서 감사합니다.

    • 모바일 진입도 인증서 변경으로 해결이되었네요

    • 해결되서 다행입니다. ^^

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

Fill out this field
Fill out this field
유효한 이메일 주소를 입력해주세요.

시놀로지 Ups 설정 방법
시놀로지 UPS 설정 방법
UPS는 정전 시 배터리를 통해 220v 전압으로 추가 전력을 안정적으로 공급하는 장치로, 24시간 가동되는 서버를 운용할 때 필수적으로 사용됩니다. 특히…