Qnap ts-469L e problema certificati

[fisch88]

Ciao a tutti, ho un problema con il mio nuovo Qnap che mi impedisce di lavorare senza problemi come facevo col 209 pro II.

Mi spiego, quando mi collego all'ip (sia interno che pubblico) via browser, mi si presentano questi vari messaggi... anche quando entro in FileStation mi crea problemi.

Come mai? Come posso risolvere?
Ho provato su più pc....
Allego qualche screenshoot... qualcuno mi può aiutare??

[fisch88]

M... questo silenzio significa che sono l'unico ad avere questo problema oppure che nessuno sa come risolverlo?
Perchè se è il primo caso scrivo a qnap, se è il secondo...........

[marcudes]

Tranquillo anche a me con Explorer fa così, su un pc in cui non ho a disposizione altri browser...hai provato con Mozilla?
Il Java è aggiornato?

[fisch88]

Java è aggiornato, me lo fa sia con Chrome che Mozilla..... Soprattutto il messaggio "Applicazione Bloccata"

[dongiovannik]

Controlla il livello di sicurezza che hai impostato nelle opzioni di internet, e prova ad abbassare il livello per vedere se trovi sempre lo stesso errore.
Ciao Paolo

[dongiovannik]

Controlla il livello di sicurezza che hai impostato nelle opzioni di internet, e prova ad abbassare il livello per vedere se trovi sempre lo stesso errore.
Ciao Paolo

[Manuel1990]

Prova se mai nelle impostazioni generali a disabilitare la connessione ssl o quantomeno togli la spunta da una solo connessioni criptate, a quel punto prova a collegarti al nas, se ti dà ancora lo stesso errore collegati con: IPNAS:8080

Inviato dal mio Nexus 5 utilizzando Tapatalk

[dMajo]

Per quanto riguarda il "sito" del nas (qts o altri siti web eventualmente ospitati) se usi la connessione normale (http) non avrai problemi (va bene per la fruizione dalla lan locale).

Se invece usi https (ssl) allora:
1. il certificato (autoprodotto) deve recare lo stesso nome del sito. Cosa non possibile se al nas punti direttamente con l'indirizzo ip. Per l'accesso esterno se hai un dominio es nas.dominio.tld che punta al tuo indirizzo ip il certificato deve contenere questo nome. Nel caso tu ospiti anche altri siti es www.rossi.it e www.mario.it allora fai un certificato che nel nome canonico indichi "dominio.tld" e nei nomi alternativi "nas.dominio.tld;www.rossi.it;www.mario.it". Cosi facendo con qualsiasi dei domini indicati tu raggiunga il nas avrai soddisfatto il primo requisito per evitare l'errore (nome sito non corrispondente al certificato)
2. Ogni certificato deve essere firmato. Per quelli auto-prodotti il certificato può essere
a)firmato da se stesso oppure
b)da un autorità (CA) fittizia.
Nel caso 2a il certificato deve essere caricato sul nas e sui PC nello store dei certificati alla sezione "autorità di certificazione root considerate attendibili"
Nel caso 2b il certificato (firmato dalla CA fittizia) va caricato sul nas, mentre quello della CA fittizia va installato sul PC sempre fra le autorità di certificazione considerate attendibili.

Conviene utilizzare la soluzione 2b in quanto il certificato CA cosi creato lo puoi installare su tutti i pc, smartphone, tablet ... e ti può essere utile anche per la vpn
Il certificato per il server (firmato con quello CA) invece lo metti solo sul nas. Quando aggiungerai un nuovo sito es www.nuovo.it dovrai rifare il certificato "server" (quello del nas) usando sempre la stessa CA per firmarlo e aggiungendovi www.nuovo.it in coda a www.mario.it fra i nomi alternativi. Sarà cosi sufficiente aggiornare quello del nas e non si dovra ridistribuire il CA a tutti i dispositivi essendo questo rimasto invariato.

Il funzionamento è il seguente:
1. Quando tu visiti (navighi) un sito https (ssl) il browser risolve l'indirizzo con un server dns è poi punta all'indirizzo ip ottenuto.
2.Il server contattato gli fornisce il proprio certificato contenente il proprio nome (o più nel caso di utilizzo dei nomi alternativi).
3. Il browser verifica se fra questi nomi c'è quello che tu hai digitato nella barra dell'indirizzo. Se non viene trovata corrispondenza viene generato un errore (nome non corrispondente).
4. Se il nome viene trovato il browser verifica chi abbia emesso (generato/firmato) questo certificato. Verifica poi se il nome trovato in firma (l'autorità firmataria) è da considerarsi attendibile cercandola fra i certificati contenuti "fra le autorità CA considerate attendibili". Se non viene trovata viene generato un errore "autorità non riconosciuta".

In ogni caso continuando dopo il messaggio d'errore la comunicazione (fra PC e server) sara crittografata dalla chiave digitale del certificato. Il messaggio d'errore indica solamente che ci si sta connettendo ad un server che potrebbe non essere quello che ci si aspetti (es sito clonato di una banca).
Siccome tu ti stai connettendo al tuo nas usando il suo indirizzo ip (sei certo della destinazione) puoi ignorare l'errore e proseguire.... oppure crearti i certificati opportunamente.
Quando ti connetterai localmente (dalla tua lan) continuerai sempre a ricevere l'errore se userai direttamente l'indirizzo ip. Per evitarlo devi installarti un server dns (eventualmente anche "bind9" sul nas) interno e farvi puntare i pc per risolvere www.mario.it (o latri nomi contenuti nel certificato) in 192.168.0.6.

Ovviamente se questa fosse un'attività commerciale, per evitare una magra figura e dare sicurezza(fiducia) alla clientela il certificato (ssl) andrebbe acquistato da un'authority a ciò preposta (es VeriSign CA).


Per quanto riguarda java invece:
Nel pannello di controllo di java (sul pc) imposta il livello di sicurezza da alto (molto alto) a medio.
Ciò non eviterà i messaggi d'errore ma ti consentirà di proseguire.
Spetta a Qnap risolvere questo problema. Essa dovrebbe infatti firmare il proprio codice (le applet java) con un proprio certificato (per il codice eseguibile) a sua volta firmato da un'autorità considerata attendibile, è già configurata come parte del sistema operativo in tutti i pc/device, come ad esempio Verisign CA ... quindi pagandolo ... proprio per evitare un magra figura, ma soprattutto noie all'utenza/clientela.

[ninio]

Vi consiglio di usare questo sito se volete registrare certificati trustati http://www.startssl.com gratuito ovviamente.

[ninio]

Ciao Toledo per configurare il certificato come ha spiegato bene dMajo devi avere un reale dominio e un reale record DNS registrato.
Saltando direttamente al tuo caso tu non puoi creare un certificato http://www.sito.it e installarlo sul NAS perché ti darà sempre l'errore perché il sito non è pubblicato sul NAS ma è in hosting presso aruba.
La cosa che puoi fare è creare nel pannello di Aruba un nuovo record nel DNS ti incollo un esempio:

Sotto Record CName Avrai:

Nome host CName
ftp http://www.sito.it (Record già presente)
cloud IP DI CASA TUA (Record da aggiungere il nome a tuo piacimento)

Una volta fatto questo sul sito http://www.startssl.com crei il certificato per cloud.sito.it e lo importi nel NAS.
A questo punto accedendo con https://cloud.sito.it il certificato verrà correttamente riconosciuto.
Se invece cercherai di accedere con IP ho Hostname del NAS ti darà sempre errore.
L'ho messo qui invece che privatamente almeno può servire come spunto per altri.

[toledo]

Ci provo. Grazie adesso è piu chiaro. Gentilissimo

Inviato dal mio PAP7600DUO utilizzando Tapatalk

[toledo]

grazie. funziona perfettamente.

[ninio]

Perfetto Toledo sono contento per te...!!!


Inviato dal mio iPhone utilizzando Tapatalk