Manualmaton's Laboratory

タグ: QNAP

TS-216GにSSL証明書を設定。

By

オン 2026年4月7日

カテゴリー: NAS

QNAP、Web管理画面へのアクセスがhttp通信のためブラウザで「保護されていない通信」と出てしまいます。

ローカル運用だからといっても多くのマルウェアは「ついでに」というより「こっちが本命」と言わんばかりにNASを狙うパターンが多いため、
(↑ 建前 ↑)
(↓ 本音 ↓)
こちらの美意識にそぐわないためSSL証明書を自前で設定します。

環境

別に以下の環境があることが要件です。

  • インターネットに接続されているLinuxサーバ。
    • Let's Encrypt(certbot)導入済み
  • 独自ドメインがあること。
    • そのDNSレコードを設定することができること。

さっくりとした手順

  1. certbotで証明書を発行します。
  2. 適切な手段でローカル環境に保存します。
  3. NAS(TS-216G)に適用します。

Let's Encryptで証明書を発行。

  • 証明書発行

以下、

  • -d ドメイン
  • -m 自分のメールアドレス

に置き換えます。

sudo certbot certonly --manual \
-d star.hoge.example.com \
-m hoge@example.com \
--agree-tos \
--key-type rsa \
--preferred-challenges dns-01

この、key-type rsaを付けなかったことがはまりポイントでした。というのも、ここ数年、Let's EncryptはECDSA方式をデフォルトで発行していますが、QNAPのOSは最新の暗号化に対応していません。そのため、RSAと「強度を下げて広く使われる形式」と明示する必要があります。

  • ドメイン所有者手続き

その後、DNSで、指定されたTXTレコードを登録せよという指示がありますので、それに従ってDNSを設定します。

このとき、TTLは60などと極めて短い時間にしておくと良いでしょう。(3600などとするとかなり待たされます)

証明書の整合性を確認

  • 90日の有効期限であることを確認します。

以下、自分が発行したドメインに基づく証明書や秘密鍵に読み替えます。

sudo openssl x509 -noout -dates -subject -in /etc/letsencrypt/live/star.hoge.example.com/fullchain.pem
notBefore=May 17 04:35:55 2025 GMT
notAfter=Aug 15 04:35:54 2025 GMT

のように90日間であることを確認します。

  • 確認1. 証明書から公開鍵データを確認
sudo openssl x509 -pubkey -in /etc/letsencrypt/live/star.hoge.example.com/fullchain.pem -noout | openssl md5
  • 確認2. 秘密鍵から公開鍵を取得
sudo openssl pkey -pubout -in /etc/letsencrypt/live/star.hoge.com/privkey.pem | openssl md5

→ 確認1/確認2で出てきた公開鍵のハッシュ値が一致していればOKです。

SSL証明書と秘密鍵をローカル環境に保存

発行されたら、以下のファイルを適切な方法でローカルに保存します。

  • /etc/letsencrypt/live/star.hoge.example.com/fullchain.pem
  • /etc/letsencrypt/live/star.hoge.com/privkey.pem

この時の保存はcatコマンドで表示して自分の環境にファイルを貼り付けるのが結果的に効率的ではありますが、privkey.pemは管理者権限でしか読めない(600)となっているため、

sudo cat /etc/letsencrypt/live/star.hoge.com/privkey.pem

としないと閲覧できません。

そうしてローカル環境に保存します。

QNAPへの運用

  1. ブラウザでQTSにログインし、[コントロールパネル] を開きます。
  2. [システム] > [セキュリティ] の順に進みます。
  3. 上部のタブから [証明書とプライベートキー] を選択します。
  4. [証明書の置換] ボタンをクリックします。
  5. 「証明書のインポート」を選択し、以下のファイルをそれぞれアップロードします。
  • 指定するファイルの対応表
項目ファイルの種類内容
プライベートキー**.key証明書発行時に生成した秘密鍵
証明書.crt または .pem認証局から発行されたドメイン証明書
中間証明書 (任意).crt または .pem認証局のチェーン証明書(推奨)
  1. [適用] をクリックします。これで、NASのWeb管理画面(HTTPS)に証明書が適用されます。

適用後の確認

設定が完了したら、以下の点を確認してください。

  • ブラウザの鍵マーク: NASにドメイン名(例:https://star.hoge.example.com:8081)でアクセスし、ブラウザのURL横にある鍵アイコンが正常(「この接続は保護されています」)になっているか確認します。
  • 有効期限: QTSの「証明書とプライベートキー」画面で、表示されている有効期限が正しいか確認します。

注意点とTips

証明書一式をインポートしたのに適用できない

ECDSA形式で発行しているパターンがほぼ大多数です。筆者はこれに一週間ほどハマり、「自分のブログメモ」に助けられました。

ポート開放とアクセス

自前証明書を適用しても、ローカルIPアドレス(192.168.x.x)でアクセスした場合は「保護されていない通信」と表示されます。必ず証明書に記載されたドメイン名でアクセスしてください。

しかし、これはある意味チャンスです。Let's Encryptは90日しか有効期限がないため、期限切れで

https://star.hoge.example.com:8081

とアクセスした場合、ブラウザでエラーが出ますが、ローカルIPアドレス直打ちはその範疇ではありません。

証明書の更新

自前の証明書(特に Let's Encrypt 以外を外部で取得したもの)は自動更新されません。有効期限が切れる前に、上記の手順で新しいファイルを再度インポートする必要があります。

myQNAPcloud を利用している場合

もし myQNAPcloud の DDNS 機能を利用している場合、QTS側で「myQNAPcloud証明書」が優先されていることがあります。その場合は、上記手順の「証明書の置換」で自前のものを優先するように設定を変更してください。

TS-216Gセットアップ中の初期不良対応。2/2

By

オン 2026年3月31日

カテゴリー: NAS

NASセットアップ中に起きたHDD初期不良。

これに対してどのようなサポートをし、復旧させたかのメモです。

大前提

サポートを受けられる権利の確認。

これが一番大切です。そもそも、メーカーにしても代理店にしても「故障した」って連絡はまず受け取りたくないもの。

  • 購入したという証跡(レシートや注文番号)
  • 機器のシリアルナンバー

は必須です。特に、大手代理店やメーカーは、「これは確実にうちのメーカーの正当なものである」というデータベースを持っていますから、その紐付けのためにも上記二つは持っておきましょう。

現状維持。

また、機器の外箱や梱包材なども持っておいたことが今回のスムーズな解決につながります。購入したらすぐ捨てるという断捨離精神は「機器の移行」では命取りになりやすいです。

問い合わせの内容

上記、準備ができたらメールなり問い合わせフォームなどで確認。

サポートへの報告例の前の余談

買ったばかりの製品がいきなり故障。そら、感情的になります。「高い金払わせておいて」の気持ちが先に来るのは当然です。

しかし、前項で示した「バスタブ曲線」であるように、初期不良はつきものです。実際に秋葉原などのパーツ屋で「初期不良は○日以内」ということを聞いた方もいるでしょう。

  • 初期不良は起こり得るもの。だから販売店はその方法を明示している
  • であれば、そのプロトコルに則る

が、結果的に最速の復旧となります。

サポートへ聞いてみる

これは、筆者の祖母が生前によく言っていたことですが;

「丸い卵も切り様で四角。言葉も言い様で角が立つ」
「聞き間違いは言い手の責任。言い間違いは聞き手の責任」

は、今の大炎上時代を見越したとしか思えない言葉。

  1. サポート担当が「じゃあ、助けよう」と気持ちよく手配できる
  2. 互いに誤解を生まない表現

は必要です。

筆者はこんな感じでサポートに聞きました。

ご担当者様

お世話になっております。

○月X日、購入店(または購入サイト名)にて

- 購入したもの1
- 購入したもの2
- 購入したもの3...

を、注文番号:xxxxxxxx で購入いたしましたところ、以下の不良が発生しましたので対応をお願いしたいです。

【不良が起きた製品】

HDD (シリアルナンバー)

【状況概略】
セットアップ中、ディスク読み取りエラーとなって認識されない状況となっております。

【具体的なメッセージ】

TS-216Gの管理画面で
「1つ以上の回復不能な読み取り/書き込みエラーが検出されました。ディスクを交換することを検討してください

のエラーが発生しています。(添付をご参照ください)

QNAP本体もDisk2が赤く点灯しておりました。

〔QNAP本体のエラー〕
以下を確認しております。
エラー    2026-03-27    01:02:40    ---    ---    localhost    ---    Storage & Snapshots    Disk    [Storage & Snapshots] Disk "Host: 3.5" SATA HDD 2" failed. Volume: HOLD, Storage pool: 1.

【事象発生時の操作】
以下を行いました。

1. HDD装填
2. ディスクの認識
3. RAID構築
4. ボリューム作成
5. ボリューム作成後に上記エラーを発見。

【事象発生後に実施したこと】

1. QNAP本体の再起動 → 変化無し
2. ディスクのさし直し → 変化無し

【推定される事象と依頼】

初期不良と思われます。同品交換をお願いできますでしょうか。
または、そうでないならば、対応方法をご教示ください

ここでのポイント

5W1Hの確認

「いつ、どの様な操作で、何が起きたか」は確実に伝えましょう。

あくまでも人為的な/故意ではないことを伝える

これが「サポート埒外の操作をしていた」「ブチ切れて機器を床にたたき落とした」等は話を聞いてもらえないでしょう。

何をやっていたかは正常に伝えましょう。

事象の概略→詳報の順番。

相手は何百、何千と問い合わせに対応しています。その対応の是非をトリアージしています。なので「これは早急に対処が必要だ」という書き方のためにも

  1. まず何が起きたか
  2. 何をしたらこうなったか
  3. どうして欲しいか

の3点の順番で伝えると、担当者は「これはすぐに動かねば」となります。

サポートの対応結果

驚くほど迅速でした。

  1. 障害が起きたパーツ(HDD)を交換する
  2. その手配をしたので都合のつく日時を教えてほしい

旨を伝えられたので、それを連絡。

そして、すぐに到着。もちろん、それに備えて

  • 可能な限りの原状復帰
    • HDDを静電気保護袋
    • 梱包材
    • 外箱

に入れて、その中に

  1. 購入履歴のコピー
  2. 発生した障害のメモ

を添えて、担当者が分かりやすい様にしておきます。

状況解決

新しいHDDが到着して、ディスクをQNAPのベイに入れたところ無事認識!

RAIDの構築も正常に行えたので本当に良かったです。

今回のまとめ

構築中に起きた出来事に救われた

これに尽きます。移行時のミスだったので切り戻し、手戻りは容易です。
バスタブ曲線の最初の段階で起きたので迅速な対応ができました。

信頼できる店舗で買えたこと。

そもそも、15年以上も前のデータや父のデジタル遺産を引き継いだ背景もあり「製品の信頼性」が第一でした。
そのため、「どこで買うか」というのは「どのメーカーのもので買うか」以上に重要です。

今回、QNAP/WDという信頼と実績あるメーカーを、信頼できる店舗(TSUKUMO)で買ったのは、販売実績とサポートが厚いという2点によるところが大きいです。

本当のコストパフォーマンスとは

この言葉が叫ばれて久しいですが、筆者は「コストとやらの本質を見失っていないか」という疑問があります。

というのも、「近所のスーパーより10円安いから」といって卵を隣町のスーパーで

  • 交通費
  • 時間

をかけて手に入れるという行為は、「10円の価値があるのか?」です。特に人間というやつ、かかったコストは計算できてもかかった時間は無頓着になりがちです。

例えばこれが出所が怪しい店舗で、連絡手段がよくわからない店で買っていたら障害発生後の即交換は望めなかったでしょう。

新たな10年に向けて

購入して10年超というNASの移行はなかなかのドラマがありましたが:
新たなデータストレージの引き継ぎがなんとか解決に向かって一安心でした。

次の10年も無事に持つかどうか、それこそ、大切に適切に扱っていきたいです。

TS-216Gセットアップ中の初期不良対応。1/2

By

オン 2026年3月30日

カテゴリー: NAS

TS-216Gセットアップ中、まさかの事象が起き、それを解決しようとしたときのメモです。

  1. NASの初期設定を終えて
  2. ストレージプールとボリュームを作成し
  3. いよいよデータの移行をしよう

と、一番大事な写真データを新しいNASに移行し、目処が立ったところでNAS本体を確認すると「LEDが一つ赤点灯」。

「赤?」思いながらNASの管理画面を見ると

2026-03-27 01:02:40 --- --- localhost --- Storage & Snapshots Disk [Storage & Snapshots] Disk "Host: 3.5" SATA HDD 2" failed. Volume: vol01, Storage pool: 1.

と、マウントしていない旨の連絡。更に、ディスクの状況でも

「ディスクS.M.A.R.T情報を読み取ることができません。全てのディスクが公式互換性リストに登録されていることを確認してください。
ディスクアクセス履歴:エラー
ディスクS.M.A.R.T情報:エラー

また、ストレージプールを見ても「メンバーではない」という状況です。

導入して1週間も経っていないので、対応を行います。

やったこと

NAS本体の再起動

この手のハードウェア初期構築時の基本です。

しかしNG。

ディスクのさし直し

幸い、RAID1で組んだディスクは「ホットスワップ」可能です。つまり、1本ダメでももう1本が正常であれば機器の通電中だろうとディスクの取り外しと交換が可能です。

しかしこちらもNG。

導かれる結論:初期不良

バルク品だろうとリテール品だろうと発生する「初期不良」にとっ捕まりました。いわゆる「バスタブ曲線」の最初の高い位置にあるところです。

そもそもバスタブ曲線とは?

以下、Geminiによる解説。

  • 初期故障期 (Infant Mortality Period)
    • 使い始めの時期に発生する故障です。
      • 特徴: 稼働開始直後は故障率が高く、時間の経過とともに急速に減少します。
      • 主な原因: 設計ミス、製造不良、不適切な部品の混入など。
  • 偶発故障期 (Random Failure Period)
    • 初期故障が収まり、故障率が低く安定している時期です。
      • 特徴: 故障がいつ起こるか予測しにくく、一定の低い故障率を維持します。
      • 主な原因: 予期せぬ過負荷、操作ミス、落雷などの外部要因。
  • 摩耗故障期 (Wear-out Failure Period)
    • 長期間の使用により、故障率が再び上昇し始める時期です。
      • 特徴: 部品の寿命や劣化が原因で、故障が多発します。
      • 主な原因: 摩耗、疲労、腐食、酸化などの物理的・化学的な劣化。

この、「初期故障機」に捕まりました。

嘆いていっても事態が変わるわけでもなし。やれることをやっていきます。

『未来戦隊タイムレンジャー』の

未来は変えられなくたって、自分達の明日ぐらい変えようぜ!

の精神。それに、「初期対応が可能な帰還。それも移行中」にこの不良が見つかったのはむしろ幸いと言えます。正当な権利として購入店に対応を依頼できるのですから。

というわけで、次のエントリーではこの対応のメモを記します。

TS-216Gセットアップ完了。

By

オン 2026年3月28日

カテゴリー: NAS

昨日からの作業ログです。

ストレージ基盤の確定

※先日からのステータス

  • RAID同期完了:
    • RAID 1 (ミラーリング) のビルドが正常終了。

ボリューム、ドライブ作成

  • ボリューム作成:
    • ドライブの確認
      • タイプ: シックボリューム (Thick Volume)
      • 任意の名前のエイリアス
      • 容量: 4.2 TB (プール残容量 1.62 TB をバッファとして確保)

設定後、構築・フォーマット完了、「準備完了」を確認。

ネットワーク・セキュリティ設計

  • ドメイン連携:
    • 独自ドメインでの名前解決を確認。
  • SSL証明書省略:
    • 直接インポート試行時に手持ちのWebサイト用のワイルドカード証明書をインポートしようとしましたが、ECDSA アルゴリズム非対応によるエラーを確認。
    • 運用負荷(3ヶ月更新)と汎用性を考慮し、この段階でのWeb画面のSSL設定はオミット。リバースプロキシを試すなりを行います。

システムメンテナンス

  • ファームウェア更新:
    • バージョン: 5.1.5.2645 → 5.2.9.3410 (Build 20260214)

最新状態へのアップデートおよび再起動を実施。

最終疎通確認

  • SMBアクセス:
    • Windowsエクスプローラーより \\NASのドメイン へのアクセスおよび Public/work フォルダの視認を確認。

TS-216Gセットアップ開始。

By

オン 2026年3月27日

カテゴリー: NAS, ガジェット

開封

本体を開封したのがこちら。重さはずっしり。

作業ログ

1. 導入フェーズ

  • 機材選定:
    • QNAP TS-216G / WD Red Plus 8TB (WD80EFPX) ×2
  • 物理セットアップ:
    • HDD装填、ネットワーク接続完了

2. 初期初期化フェーズ

  • デバイス検出:
    • Qfinder ProをPCにインストール。ネットワーク上の対象機器を補足
  • NAS名と管理者名をセットアップ。パスワードも設定。
  • 時間設定:
    • タイムゾーン(JST)、NTP同期 (pool.ntp.org) 成功
  • NW設定:
    • 静的IPアドレス固定。後にサーバでも使うことになるため。
  • ファームウェア運用:
    • 通知のみ、自動更新なし(管理者手動制御)操作中のファイル操作を防ぐため。

ストレージ構築フェーズ

  • 物理確認:
    • HDD 2基の正常認識を確認
  • プール作成:
    • ストレージプール 1 の構築開始
  • RAID構成:
    • RAID 1 (ミラーリング)
  • データ保護:
    • スナップショット領域 20% 確保
  • ボリューム設計:
    • シックボリューム(Thick Volume)採用確定

現在状況:

RAID同期(リシンク)実行中。8TBのディスクの同期なので、これは待ちの状況。新しい機器のセットアップは面倒ですが子心躍ります。

Powered by WordPress & Theme by Anders Norén