Zyxel Network-Attached Storage NAS - Как да импортирате или регенерирате сертификат на Zyxel NAS устройство

$ ssh root@192.168.1.33

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

# exit

Създаване на Let's Encrypt сертификати за Zyxel NAS

Забележка: Моля, имайте предвид, че това е временен метод и като такъв има един малък страничен ефект: когато кликнете върху таба SSL в Контролния панел, WebUI се заключва с грешка 500. Ако това се случи, можете да презаредите страницата и да продължите работата си. Тъй като този таб не предлага функционалност, необходима при използване на това ръководство, това е сравнително малък недостатък спрямо предимствата от използването на Let's Encrypt сертификат. 

Уверете се, че вашият Arch е актуализиран до последната версия:

$ sudo pacman -Syu

• Инсталирайте certbot, ACME клиент, който автоматизира процеса на създаване на сертификати:

$ sudo pacman -S certbot

• Уверете се, че вашият Arch може да слуша на порт 80, ако е необходимо, пренасочете порт 80 към вашата машина. Създайте сертификат с помощта на следната команда:

$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Забележка: ако получите грешка „challenge failed for domain“, сървърите на Let's Encrypt не могат да достигнат вашата машина. Моля, проверете отново дали пренасочването на портове е включено и уверете се, че няма услуга, работеща на порт 80 на вашия Arch. Можете временно да спрете съответната услуга с командата:

$ sudo systemctl stop httpd

• След този етап, можете да я стартирате отново

$ sudo systemctl start httpd

• Сега можете да пренасочите порт 80 към вашия NAS, както и порт 443, ако все още не сте го направили.

Качване на Let's Encrypt сертификати за Zyxel NAS

Вашият сертификат е готов за качване на вашия NAS, в този пример ще използваме SFTP клиент базиран на shell. Има обаче голям набор от инструменти, които можете да използвате, ако предпочитате по-визуален подход, вижте секцията за отстраняване на проблеми, където са описани други опции за работа със SFTP в Arch. Моля, имайте предвид, че ако решите да преместите сертификатите от защитеното им хранилище, уверете се, че след това са изтрити или защитени! Никога не споделяйте своя частен ключ!

Свържете се с вашия NAS с root права, тук ще използваме sudo, в противен случай няма да можем да прочетем сертификатите от защитеното хранилище:

$ sudo sftp root@[yournasaddress.zyxel.me]

Изпълнете следните команди, за да копирате сертификатите на съответните им места. Ще направим резервни копия по време на процеса, за да можете да възстановите оригиналните сертификати, ако нещо се обърка. Моля, бъдете внимателни, работите с root права и всяка команда ще бъде изпълнена без допълнително потвърждение. Проверявайте за правописни грешки. Можете също да завършвате имена на файлове и директории, като натиснете Tab след първите няколко букви, което ще ви помогне да избегнете грешки. Също така имайте предвид, че имената са чувствителни към главни/малки букви както на NAS, така и на Arch или всяка друга Linux система!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Това е всичко! Можете да излезете от SFTP с командата exit и да рестартирате вашия NAS!

sftp> exit

След рестартиране влезте и проверете резултатите. Уверете се, че SSL е активиран в Контролен панел > Мрежа > TCP/IP > Web Configurator. Можете също да наложите използване на HTTPS в този таб, ако желаете.

Подновяване на Let's Encrypt сертификати за Zyxel NAS

По дизайн, Let's Encrypt сертификатите са с кратък срок на валидност. Те са валидни 90 дни от датата на издаване. За да подновите сертификата си, трябва отново да пренасочите портовете на вашия Arch Linux, да стартирате командата certbot и да го качите отново на вашия NAS.

Отстраняване на проблеми

• Чести проблеми и решения: Някои потребители са срещали проблем, при който NAS показва „500 Internal Server Error“ след опит за импортиране на сертификат. Решенията включваха проверка на формата на сертификата и уверяване, че всички необходими файлове са правилно поставени в директорията на NAS. Други препоръчваха проверка на конфигурацията на Apache и ръчно рестартиране на уеб сървъра за разрешаване на тези проблеми​ (Zyxel Community)​​ (Zyxel Community)​.
• Автоматизиране на подновяването на сертификати: Автоматизирането на подновяването на Let's Encrypt сертификати беше друга често обсъждана тема. Потребители споделяха скриптове, които автоматично копират подновените сертификати на NAS и рестартират уеб услугите. Това включва настройване на непостоянно (non-volatile) хранилище за root директорията и конфигуриране на SSH ключове за неинтерактивно влизане​ (Zyxel Community)​.
• Самоподписани сертификати: За тези, които разчитат на самоподписани сертификати, някои срещнаха проблеми с достъпа до уеб интерфейса на NAS след активиране на HTTPS. Често се препоръчва временно деактивиране на HTTPS чрез SSH команди, ако не можете да достъпите уеб интерфейса, както е описано в дискусия за модифициране на конфигурационните файлове на Apache​ (Zyxel Community)​.
• Инсталиране и управление на сертификати: Много потребители са имали проблеми с инсталирането на SSL сертификати на Zyxel NAS устройства. Често срещан проблем е, че NAS се връща към своя самоподписан сертификат след рестартиране. За да се поправи това, потребителите препоръчват изтриване на файла CA.cer в директорията /etc/zyxel/cert, което принуждава NAS да използва файла default.cer. Това е помогнало на потребителите успешно да използват сертификати от органи като Let's Encrypt​ (Zyxel Community)​​ (Zyxel Community)​
• Получавам „challenge failed“ за домейн [mydomain]!
  Тази грешка обикновено означава, че вашият Arch не може да бъде достигнат от сървъра на CA за проверка на автентичността. Моля, проверете дали порт 80 е пренасочен към вашата Arch машина и че няма услуга, работеща на порт 80 (например apache?).
• Импортирах сертификати, сега моят NAS не отговаря нито на http, нито на https!
  Това означава, че уеб сървърът на NAS е срещнал проблем при стартиране, най-вероятно сте объркали нещо при качването на сертификатите на NAS. Не се притеснявайте, SSH/SFTP все още трябва да работи.

• Не искам да използвам терминала за работа с файлове, имате ли други предложения?
  Ако ви е по-удобно, можете да използвате файловия мениджър Nautilus на Gnome, за да стартирате SFTP сесия с NAS за копиране на файлове.
  
  Ако нямате инсталиран Gnome (може би сте на Arch Live CD), има терминален ортодоксален командер с поддръжка на SFTP, наречен Midnight Commander, който трябва да работи дори на много базова Arch инсталация. За инсталиране и стартиране като root, въведете:

  $ sudo pacman -S mc
  $ sudo mc

Само за информация: Zyxel NAS устройствата са достигнали края на периода на поддръжка. Разбираме, че това може да е неудобно, затова за да ви помогнем, моля посетете нашия форум или разгледайте секцията за NAS в нашата база знания за всички подробности. Можете също да намерите списък с остарели устройства и техните срокове на поддръжка на линка по-долу.

• End of Life (EOL/EoL) / End of Support (EOS/EoS)
• Общностен форум за лични облачни хранилища

Благодарим ви много за разбирането и търпението!