SynologyのDiskStationを2拠点で利用しています。この2台のDiskStationを使い、どちらかの拠点が災害にあってもデジタルデータが保持できるようにします。その実現のためにフォルダー同期の機能を利用します。設定については前回までの投稿(1,2)で説明しました。今回はSSL証明書更新時の対応についていです。
この投稿は、Synology NASのDSMはバージョン 7.1.1-42962 Update 3 を利用して作成しています。DSMのバージョンが異なる場合は、画面や操作方法など説明の内容が一致しないことがあります。
Synology Drive ShareSync
SynologyのNASであるDiskStationでは、サービスおよびアプリを追加イストールすることにより、いろいろな機能を後から追加することができます。
Synology Drive ShareSyncを利用すると、2台のDiskStationがある場合に、二つのDiskStation間でフォルダーを同期することができます。
このフォルダー同期の機能を利用すると、各拠点ではその拠点にあるDiskStationのファイルを編集・保存すると、もう一方の拠点のDiskStationにそのファイルが同期されます。そのため、ファイルの実体が常に二つのDiskStationに存在することになります。
これにより、片方の拠点が災害などで使えない状態なったとしても、もう一方の拠点のDiskStationにファイルが残ることになります。この機能を災害発生時のバックアップの目的で使用するときは、二つの拠点が地理的に離れている必要があります。地理的に離れていないと、両方とも同時に災害になる可能性がるからです。
ファイルの実体が二つあるため、二つの拠点で同じタイミングで同じファイルを編集・保存したときは、競合(コンフクリクト)が発生します。競合が発生した場合は、既定では一方はリネームされ二つのファイルが保持されます。競合が発生したときの挙動(二つ保持する、サーバー側を保持する、更新時間が新しいほうを保持する)は設定で変更することもできます。
今回は、前回までの投稿(1,2)でサーバー側で・クライアント側の設定につて説明しました。
Synology Drive ShareSyncの設定で暗号化通信するためにSSL証明書を利用するように設定しました。今回は、SSL証明書が更新されたときの対応方法についてです。
暗号化通信とSSL証明書
Synology Drive Serverでは、暗号化通信するためにSSL/TLSによる暗号化を使用します。SSL/TLSによる暗号化通信のためには、サーバー側にはSSL証明書が必要となります。
Synology Drive Serverに設定したSSL証明書は、Synology Drive Serverに依存するサービス・アプリで共通に利用されます。
Synology Drive Serverに依存するサービス・アプリとは、以下のものをさします。
- Synology Drive ShareSync (他の Synology NAS サーバーへの同期タスクを構成)
- Synology Drive ウェブ ポータル (WEBブラウザーから Synology Drive のファイルを閲覧)
- Synology Drive Client (Synology NAS とローカル コンピュータの間でファイルを同期)
- Synology Drive アプリ (モバイル デバイスで Synology Drive のファイルを閲覧)
- Synology Office (オンラインで編集と共同作業の機能)
Synology Drive Serverに設定したSSL証明書は、これらのサービス・アプリで、共通に使われます。PCデバイスやモバイルデバイスなどがDiskStationとSSL/TLS暗号化通信をする場合、デバイスのOS、アプリ、WEBブラウザーなどが有効な証明書として認識する証明書である必要があります。
これは、SSL証明書としてオレオレ証明書(自己署名証明書)を使用した場合、DiskStation間の暗号化通信には問題ありませんが、PCデバイスやモバイルデバイスから暗号化通信ができないことになります。
デバイスのOS、アプリ、WEBブラウザーが有効な証明書として認識する証明書は、証明書の発行元が、OS、アプリ、WEBブラウザーに信頼されている必要があります。
SSL証明書とルート証明書
SSL証明書は、発行元に署名されており、その発行元の証明書は、さらにその上位の発行元に署名されています。この証明書チェーンよって有効な証明書の判断をしています。OSやWEBブラウザーには、最上位となる発行元(ルート証明書)の証明書を複数保持しており、これらのルート証明書から証明書チェーンが構成されているSSL証明書だけが、有効と判断されます。
有料のSSL証明書では、OSやWEBブラウザーが保持しているルート証明書から証明書チェーンが構成されているため、有効な証明書として判断されます。
オレオレ証明書(自己署名証明書)のSSL証明書は、そのルート証明書をOSやWEBブラウザーが保持していないため、有効な証明書として判断されません。
無料のSSL証明書でも、有効な証明書として判断されるものがあります。Let’s EncryptのSSL証明書です。
Let’s EncryptのSSL証明書
Let’s Encrypは、ウィキペディア(フリー百科事典)によると、
Let’s Encrypt(レッツ・エンクリプト)は、非営利団体のInternet Security Research Group(英語版)(ISRG)により運営されている証明書認証局で、TLSのX.509証明書を無料で発行している[1][2]。証明書の有効期間は90日で、期間内のいつでも証明書の再発行を行うことができる。発行はすべて自動化されたプロセスで行われており、安全なウェブサイトを実現するために、証明書の作成、受け入れテスト、署名、インストール、更新を手動で行う必要があった問題を克服するように設計されている[3][4]。2016年4月に正式に開始された[5][6]。
ウィキペディアより(https://ja.wikipedia.org/wiki/Let%27s_Encrypt)
Let’s Encryptが発行するSSL証明書は、他の有償のSSL証明書に比べて、有効期間は90日間と短いですが、無償であるという優位点があります。また、SSL証明書の発行は、スクリプトで自動化することが考慮されています。
そのため、Let’s Encryptが発行するSSL証明書を利用可能なレンタルサーバーなどは多くあります。Let’s Encryptが発行するSSL証明書が利用できると、無償でSSL通信を実現することができます。
Synology NASで利用できるSSL証明書
Synology の NAS であるDiskStationでは、有償のSSL証明書を利用することができます。そして、Let’s Encryptが発行するSSL証明書も利用することができます。
Let’s Encryptが発行するSSL証明書の場合は、期限切れ時の再発行(期間延長)についてもDSMのスクリプトで自動的に行われます。そのため90日間という有効期限が短いということは致命的な欠点とはなりません。
Synology Drive ShareSyncとSSL証明書の更新
Synology Drive ShareSyncでは、サーバー側となるNASにSSL証明書が設定されていると、SSL/TLSによる暗号化通信が利用可能です。
Synology Drive ShareSyncによるフォルダー同期では、サーバー側のSSL証明書が更新されると、フォルダー同期が中断されます。フォルダー同期を再開するためにはクライアント側の再設定が必要となります。
Synology Drive ShareSyncでエラーが発生すると、DSMデスクトップ画面内のSynology Drive ShareSyncアイコンには、赤色のビックリマーク(!)が表示されます。
Synology Drive SeverのSSL証明書が変更されたときも赤色のビックリマーク(!)が表示されます。
アイコンがエラー状態になっているときは、アイコンをクリックしてメニューを表示するとエラーの概要が確認できます。
この画像の例の場合は、エラー内容として「状態が異常です:SSL認証が変更されました。」と表示されています。
この状態でSynology Drive ShareSyncを起動すると、概要画面にもエラーの詳細が表示されています。
概要でエラーが表示されている場合は、フォルダー一覧画面では、どのフォルダーの同期がエラーになっているかを確認することができます。
SSL証明書の更新によるエラーの解消方法
Synology Drive ShareSyncでは、SSL証明書が変更された場合、安全のためにエラー状態となり、同期が一時停止されます。
同期を再開するためには、設定の更新が必要となります。設定の更新方法の手順は簡単です。
「接続を編集」ボタンをクリックし、「接続を編集」画面を表示します。
「接続を編集」画面では、何も編集せず、そのまま「OK」ボタンをクリックします。
「OK」ボタンをクリックすると、「接続をテスト中です…」と表示され、接続の確認が始まります。接続の確認の結果、前回の接続と比較して、SSL証明書が変更されている場合は、以下の確認画面が表示されます。
この確認画面には、「SSL 認証が変更されました。つまり、このサーバーの証明書が変更されたか、誰かが接続を妨害しようとしている可能性があります」と表示されています。Synology Drive ServerのSSL証明書が変更したことが明確であれば接続の妨害ではないので、「はい」ボタンをクリックします。すると、DiskStation間のフォルダー同期が再開します。
まとめると、SSL証明書が変更されてフォルダー同期が一時停止した場合は、「接続の編集」画面を表示して、何も変更せず、「OK」ボタンで完了すれば、フォルダー同期が再開します。
SSL証明書が変更されたときのメール通知
SSL証明書が変更されたときには、Synology Drive ShareSyncのフォルダー同期が一時停止します。
フォルダー同期が一時停止しているかどうかは、DiskStationのDSMにサインインして、Synology Drive ShareSyncのステータスアイコンを確認することでわかります。しかし、この方法では、定期的にDSMにサインインする必要があります。他の方法で確認する方法はないのでしょうか?
あります。Synology DiskStationのDSMには、SMS通知・メール通知の機能があります。どちらの通知も、SynologyのDSMとしては無料サービスです。しかし、どちらの通知も接続先のサービス(SMS通知ならSMS通知サービス、メール通知ならメールプロバイダーサービス)が必要となります。メールプロバイダーサービスと契約しているのあれば、メール通知の利用はすぐにできます。
DSMのメール通知を有効にしておくと、SSL証明書が変更されてフォルダー同期が一時停止した場合に、以下の内容がメールで通知されます。
From: aaaaa@bbbb.ccc To: ddddd@eeee.fff Subject: [xxxxxx] リモート サーバーの SSL 証明書が変更されました リモート サーバーの SSL 証明書が変更されました。 Synology Drive Server の管理者にお問い合わせください。 送信元 xxxxxx
aaaaa@bbbb.ccc、ddddd@eeee.fff、xxxxxxは、メール通知の設定で設定した値となります。
メール通知がきたら、Synology DiskStationのDSMにサインインして、同期を再開すればよいことになります。
今回の投稿では、Synology Drive ServerのSSL証明書が更新されたときの、対処法についての説明でした。