Per quanto riguarda il "sito" del nas (qts o altri siti web eventualmente ospitati) se usi la connessione normale (http) non avrai problemi (va bene per la fruizione dalla lan locale).
Se invece usi https (ssl) allora:
1. il certificato (autoprodotto) deve recare lo stesso nome del sito. Cosa non possibile se al nas punti direttamente con l'indirizzo ip. Per l'accesso esterno se hai un dominio es nas.dominio.tld che punta al tuo indirizzo ip il certificato deve contenere questo nome. Nel caso tu ospiti anche altri siti es
www.rossi.it e
www.mario.it allora fai un certificato che nel nome canonico indichi "dominio.tld" e nei nomi alternativi "nas.dominio.tld;www.rossi.it;www.mario.it". Cosi facendo con qualsiasi dei domini indicati tu raggiunga il nas avrai soddisfatto il primo requisito per evitare l'errore (nome sito non corrispondente al certificato)
2. Ogni certificato deve essere firmato. Per quelli auto-prodotti il certificato può essere
a)firmato da se stesso oppure
b)da un autorità (CA) fittizia.
Nel caso 2a il certificato deve essere caricato sul nas e sui PC nello store dei certificati alla sezione "autorità di certificazione root considerate attendibili"
Nel caso 2b il certificato (firmato dalla CA fittizia) va caricato sul nas, mentre quello della CA fittizia va installato sul PC sempre fra le autorità di certificazione considerate attendibili.
Conviene utilizzare la soluzione 2b in quanto il certificato CA cosi creato lo puoi installare su tutti i pc, smartphone, tablet ... e ti può essere utile anche per la vpn
Il certificato per il server (firmato con quello CA) invece lo metti solo sul nas. Quando aggiungerai un nuovo sito es
www.nuovo.it dovrai rifare il certificato "server" (quello del nas) usando sempre la stessa CA per firmarlo e aggiungendovi
www.nuovo.it in coda a
www.mario.it fra i nomi alternativi. Sarà cosi sufficiente aggiornare quello del nas e non si dovra ridistribuire il CA a tutti i dispositivi essendo questo rimasto invariato.
Il funzionamento è il seguente:
1. Quando tu visiti (navighi) un sito https (ssl) il browser risolve l'indirizzo con un server dns è poi punta all'indirizzo ip ottenuto.
2.Il server contattato gli fornisce il proprio certificato contenente il proprio nome (o più nel caso di utilizzo dei nomi alternativi).
3. Il browser verifica se fra questi nomi c'è quello che tu hai digitato nella barra dell'indirizzo. Se non viene trovata corrispondenza viene generato un errore (nome non corrispondente).
4. Se il nome viene trovato il browser verifica chi abbia emesso (generato/firmato) questo certificato. Verifica poi se il nome trovato in firma (l'autorità firmataria) è da considerarsi attendibile cercandola fra i certificati contenuti "fra le autorità CA considerate attendibili". Se non viene trovata viene generato un errore "autorità non riconosciuta".
In ogni caso continuando dopo il messaggio d'errore la comunicazione (fra PC e server) sara crittografata dalla chiave digitale del certificato. Il messaggio d'errore indica solamente che ci si sta connettendo ad un server che potrebbe non essere quello che ci si aspetti (es sito clonato di una banca).
Siccome tu ti stai connettendo al tuo nas usando il suo indirizzo ip (sei certo della destinazione) puoi ignorare l'errore e proseguire.... oppure crearti i certificati opportunamente.
Quando ti connetterai localmente (dalla tua lan) continuerai sempre a ricevere l'errore se userai direttamente l'indirizzo ip. Per evitarlo devi installarti un server dns (eventualmente anche "bind9" sul nas) interno e farvi puntare i pc per risolvere
www.mario.it (o latri nomi contenuti nel certificato) in 192.168.0.6.
Ovviamente se questa fosse un'attività commerciale, per evitare una magra figura e dare sicurezza(fiducia) alla clientela il certificato (ssl) andrebbe acquistato da un'authority a ciò preposta (es VeriSign CA).
Per quanto riguarda java invece:
Nel pannello di controllo di java (sul pc) imposta il livello di sicurezza da alto (molto alto) a medio.
Ciò non eviterà i messaggi d'errore ma ti consentirà di proseguire.
Spetta a Qnap risolvere questo problema. Essa dovrebbe infatti firmare il proprio codice (le applet java) con un proprio certificato (per il codice eseguibile) a sua volta firmato da un'autorità considerata attendibile, è già configurata come parte del sistema operativo in tutti i pc/device, come ad esempio Verisign CA ... quindi pagandolo ... proprio per evitare un magra figura, ma soprattutto noie all'utenza/clientela.