시놀로지 OpenVPN 설정하기. 인증서 10년으로 하기

DSM6내용입니다, DSM7에서는 자체서명인증 못합니다.

DSM7은 synology 인증서 사용해도 됩니다.

OpenVPN을 쓰려면 우선 인증서가 필요하다.

시놀로지 인증서 메뉴 위치

제어판 - 보안 - 인증서 탭 (제어판 아무거나 누르면 왼쪽 사이드에 보안 생긴다)

---자체서명 인증서--

자체 서명 인증서 만들 때 잘 보면, 처음에는 '루트'인증서 생성이고,

그 다음 '그것으로 서명한 인증서'생성을 또 한다.

헷갈리지 않게 처음에 이름cert_ca, 두 번째에 이름cert 이렇게 하자.

---자체서명 인증서가 아니라 synology.com 인증서로 서명해서 유효기간 10년만들기---

시놀로지에서 추가 눌러서 그냥 자체 서명 인증서 만들면 1년 주므로, 

길게 만드려면 CSR을 통해 요청을 만들고 가장 유효기간이 긴 CA 인증서인 synology.com으로 서명하는수 밖에 없다.

제어판 - 보안 - 인증서 탭 화면에서

1. 위에 CSR 버튼을 눌러서 인증서 서명 요청(CSR) 생성을 한다.

정보를 기입해서 다운로드함.

server.csr, server.key 만들어짐.

2. 위에 CSR 버튼을 눌러서 인증서 서명 요청(CSR)에 서명 - synology.com 선택

유효기간을 3650 (10년)으로 하고 인증서 요청에 server.csr 을 업로드 하면 'server.crt' 를 준다.

3. synology.com 인증서에서 마우스 오른쪽 키로 인증서 내보내기로 다운로드 받고

(cert.pem, privkey.pem, syno-ca-cert.pem, syno-ca-privkey.pem)

이중에 syno-ca-cert.pem 가 필요하다. 이것이 '중간 인증서'다.

4. 이제 폴더에 server.csr, server.key, server.crt, syno-ca-cert.pem 를 모아두자.

5. 추가 버튼을 눌러서 인증서 가져오기

개인키: server.key

인증서: server.crt

중간인증서: syno-ca-cert.pem

이러면, 발급자가 Synology Inc. CA인 10년짜리 인증서가 만들어진다.

이 인증서를 다운로드하면, cert.pem, chain.pem, privkey.pem 3개가 다운로드 된다.

중간 인증서를 업로드 하지 않으면, VPN Server용으로 쓸 수 없다.

VPN Server 용으로 쓸 때 client는 아래 2개만 쓰고, chain은 쓰지 않는다. (server단에서 쓰이는듯)

---------------------

'구성'에서 VPN Server 인증서를 바꾸면 vpn에서 내보내기로 받는 ca.crt가 변한다.

다운받은 ca.crt를 클릭해보면, 내가 '구성'에서 설정한 인증서임을 알 수 있다.

VPN Server의 OpenVPN에서

포트는 그대로 쓰거나 적당한것으로 바꾸고

인증을 SHA256 으로 하고

VPN 링크에서 압축 활성화 체크

클라이언트의 서버 LAN 엑세스 허용 체크 하자.

'내보내기 구성'을 눌러서 다운로드.

ca.crt를 눌러보면 위에서 선택한 인증서임을 알 수 있다.

VPNConfig.ovpn 에 <ca> 항목에 저장되어 있어서 ca.crt없어도 된다.

아래 항목만 바꿔도 로그인 아이디 비번으로 OpenVPN 접속이 되긴 하다.

remote [도메인].synology.me [바꾼포트번호]

redirect-gateway def1 #지움

dhcp-option DNS 168.126.63.1

reneg-sec 3600

여기에 추가로 인증서 로그인을 한다면

제어판 - 보안

마우스 오른쪽클릭 인증서 내보내기. (구성에서 vpn사용하기로한)

(cert.pem, privkey.pem)

VPNConfig.ovpn 에 아래를 추가.

cert cert.pem

key privkey.pem

그러면 vpn 설정하기 위해 필요한 파일은 아래 3개파일이다.

VPNConfig(이름바꿔도됨).ovpn, cert.pem, privkey.pem