Síťové úložiště [NAS] Zyxel - Jak importovat nebo regenerovat certifikát v úložišti NAS Zyxel

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte původní článek zde: Originální verze

Tento článek obsahuje stručný návod na vytvoření nových certifikátů s vlastním podpisem na NAS pro řešení chyb souvisejících s protokolem SSL a návod na generování a import globálně důvěryhodných certifikátů Let's Encrypt v systému Arch Linux, aby se zabránilo chybám "Připojení není zabezpečeno" a zajistil se bezproblémový a bezpečný přístup k WebGUI.
Oznámení o konci životnosti produktu: S politováním vás informujeme, že produkt "Zyxel NAS Devices" dosáhl konce své životnosti. V důsledku toho může být technická podpora tohoto zařízení omezena. Upozorňujeme, že jakákoli manipulace se zařízením, kterému již skončila životnost, nebo jeho používání je zcela na vaše vlastní riziko. Seznam zastaralých zařízení včetně dat jejich vyřazení a ukončení podpory naleznete na níže uvedeném odkazu. Na této stránce je rovněž uvedena nejnovější aktualizovaná verze pro vaše zařízení: Konec životnosti

Generování originálních certifikátů s vlastním podpisem na zařízení Zyxel NAS

Otevřete příkazový řádek. Chcete-li se připojit, použijte následující příkaz s adresou vašeho NAS a v případě výzvy připojení schválte.

dyn_repppp_0

Spusťte následující příkazy pro obnovení výchozího úložiště certifikátů (vynechejte první řádek, chcete-li pouze vygenerovat nové certifikáty). Budete vyzváni k zadání informací o certifikátu. Výchozí nastavení je dostatečně dobré, takže stačí stisknout enter, dokud se znovu nedostanete na příkazový řádek.

dyn_repppp_1

To je vše! Neváhejte a ukončete příkazový řádek. Aby se změny projevily, může být také nutné restartovat NAS.

# exit

Vytvoření certifikátů Let's Encrypt pro zařízení Zyxel NAS

Poznámka : Mějte napaměti, že se jedná o řešení, a proto má jeden drobný vedlejší účinek: když kliknete na kartu SSL v ovládacím panelu, webové rozhraní se zablokuje s chybou 500 .Pokud k tomu dojde, můžete stránku obnovit a pokračovat v práci. Vzhledem k tomu, že tato karta nenabízí žádnou funkci, která by byla při použití tohoto návodu potřebná, jedná se o zcela drobnou nevýhodu ve srovnání s výhodami použití certifikátu Let's Encrypt.

Mějte na paměti, že Arch Linux nebo jiné prostředí operačního systému založené na Linuxu (příkazy se mohou mírně lišit, pokud vám například více vyhovuje Ubuntu, můžete získat nápovědu v tomto článku, který popisuje podobný postup pro USG, protože Ubuntu i Raspbian jsou založeny na Debianu). Instalace linuxového prostředí je mimo rámec tohoto článku, podívejte se prosím na průvodce instalací vámi zvolené distribuce. V případě Archu by však mělo stačit pouze spustit Live CD a začít přímo z ramdisku.

Ujistěte se, že váš Arch je aktuální:

$ sudo pacman -Syu
  • Nainstalujte certbot, klienta ACME, který automatizuje proces vytváření certifikátů:
$ sudo pacman -S certbot
  • Ujistěte se, že váš Arch může naslouchat na portu 80, případně přesměrujte port 80 na váš počítač. Vytvořte certifikát pomocí následujícího příkazu:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Poznámka: pokud se setkáváte s chybou "challenge failed for domain", servery Let's Encrypt se nemohou spojit s vaším počítačem. Překontrolujte, zda je povoleno přesměrování portů, a ujistěte se, že na portu 80 vašeho archu není aktuálně spuštěna žádná služba. Příslušnou službu můžete dočasně zastavit pomocí příkazu:

dyn_repppp_6
  • Po tomto kroku ji neváhejte znovu povolit.
$ sudo systemctl start httpd
  • Nyní můžete přesměrovat port 80 na svůj NAS a také port 443, pokud jste jej již nenastavili.

Nahrání certifikátů Let's Encrypt pro Zyxel NAS

Váš certifikát je připraven k nahrání do NAS, v tomto příkladu použijeme shellový klient SFTP. Existuje však široká škála nástrojů, jak toho dosáhnout, pokud dáváte přednost názornějšímu přístupu, viz část Řešení problémů, kde jsou popsány další možnosti obsluhy SFTP v Archu. Mějte na paměti, že pokud se rozhodnete přesunout certifikáty z jejich chráněného úložiště, ujistěte se, že jsou poté smazány nebo zabezpečeny! Nikdy nesdílejte svůj soukromý klíč!

Připojte se k NAS s právy roota, zde použijeme sudo, jinak bychom nemohli přečíst certifikáty ze zabezpečeného úložiště:

$ sudo sftp root@[yournasaddress.zyxel.me]

Spusťte následující příkazy pro zkopírování certifikátů na příslušné místo. Během procesu budeme vytvářet zálohy, abyste mohli obnovit původní certifikáty v případě, že se něco pokazí. Buďte opatrní, pracujete pod právy roota a jakýkoli příkaz bude zpracován bez dotazu. Překlepy překontrolujte dvakrát. Názvy souborů a adresářů můžete také dokončovat stisknutím klávesy Tab po několika prvních písmenech, což vám také pomůže zabránit překlepům. Mějte také na paměti, že jak v NAS, tak v Archu nebo jakémkoli jiném Linuxu se rozlišují malá a velká písmena v názvech!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

To je vše! SFTP můžete ukončit příkazem exit a restartovat NAS!

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
0

Po restartu se můžete přihlásit a ověřit výsledky. Ujistěte se, že je v Ovládacích panelech > Síť > TCP/IP > Webový konfigurátor povoleno SSL. Pokud chcete, můžete na této kartě také vynutit používání protokolu HTTPS.
secure_NAS.png

Obnovení certifikátů Let's Encrypt pro zařízení Zyxel NAS

Certifikáty Let's Encrypt mají podle své konstrukce poměrně krátkou životnost. Certifikáty jsou platné 90 dní ode dne vydání. Chcete-li certifikát obnovit, musíte v systému Arch Linux znovu přesměrovat porty, znovu spustit příkaz certbot a znovu jej nahrát na NAS.

Řešení problémů

  • Běžné problémy a jejich řešení: Někteří uživatelé se potýkali s problémy, kdy NAS po pokusu o import certifikátu zobrazil hlášení "500 Internal Server Error". Řešení zahrnovalo ověření formátu certifikátu a zajištění správného umístění všech potřebných souborů do adresáře NAS. Jiní doporučovali zkontrolovat konfiguraci Apache a ručně restartovat webový server, aby se tyto problémy vyřešily (Zyxel Community) (Zyxel Community).
  • Automatizované obnovení certifikátu: Dalším často diskutovaným tématem bylo automatizované obnovování certifikátů Let's Encrypt. Uživatelé sdíleli skripty, které automaticky kopírují obnovené certifikáty do NAS a restartují webové služby. To zahrnuje nastavení nevolatilního úložiště pro kořenový adresář a konfiguraci klíčů SSH pro neinteraktivní přihlášení (Zyxel Community).
  • Certifikáty podepsané vlastním podpisem: U uživatelů, kteří se spoléhají na certifikáty podepsané vlastním podpisem, se někteří setkali s problémy s přístupem k webovému rozhraní NAS po zapnutí HTTPS. Často se doporučuje dočasně zakázat HTTPS pomocí příkazů SSH, pokud nemůžete přistupovat k webovému rozhraní, jak je podrobně popsáno v diskusi o úpravě konfiguračních souborů Apache (Zyxel Community).
  • Instalace a správa certifikátů: Mnoho uživatelů mělo problémy s instalací certifikátů SSL na zařízení Zyxel NAS. Častým problémem je, že NAS se po restartu vrátí k certifikátu podepsanému vlastním podpisem. Uživatelé navrhli tento problém vyřešit smazáním souboru CA.cer v adresáři /etc/zyxel/cert, což NAS donutí použít místo něj výchozí soubor .cer. To pomohlo uživatelům úspěšně implementovat certifikáty od autorit, jako je Let's Encrypt (Zyxel Community) (Zyxel Community).
  • Pro doménu [mydomain] se mi zobrazuje hlášení "challenge failed" (výzva se nezdařila)!
    Tato chyba obecně znamená, že váš Arch není dostupný serveru certifikační autority pro ověření pravosti. Zkontrolujte prosím, zda je port 80 přesměrován na váš počítač Arch a zda na portu 80 již neběží žádná služba (apache?).
  • Importoval jsem certifikáty, nyní můj NAS neodpovídá ani na http, ani na https!
    Tato chyba znamená, že webový server NAS narazil na problém při spouštění, nejspíše jste při nahrávání certifikátů do NAS něco popletli. Není však třeba panikařit, SSH/SFTP by mělo stále fungovat. V případě, že se vám nedaří dosáhnout funkčních podmínek, podívejte se na tento článek.
  • Opravdu se mi nechce používat Terminál pro práci se soubory, máte nějaké jiné návrhy?
    Pokud je to pro vás pohodlnější, můžete ke spuštění relace SFTP s NAS pro kopírování souborů použít průzkumníka souborů Nautilus v prostředí Gnome.
    nautilus.png
    Pokud nemáte nainstalované Gnome (možná jste na Live CD Archu), existuje ortodoxní příkazce Terminal s podporou SFTP s názvem Midnight Commander, který by měl běžet i na docela holé instalaci Archu, pro instalaci a spuštění jako root zadejte:
    Dyn_repppppp_11

Jen upozornění: Zařízení Zyxel NAS dosáhla konce doby podpory. Chápeme, že to může být nepříjemné, takže abychom vám pomohli, navštivte naše fórum nebo prozkoumejte sekci NAS v naší znalostní databázi, kde najdete všechny podrobnosti. Na níže uvedeném odkazu najdete také seznam zařízení s ukončenou platností a lhůty jejich podpory.

Moc děkujeme za pochopení a trpělivost!

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 1 z 5
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.