Zyxel síťové úložiště NAS – Jak importovat nebo znovu vytvořit certifikát na úložišti Zyxel NAS

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek
Tento článek poskytuje rychlý návod na vytvoření nových samopodepsaných certifikátů na NAS pro vyřešení chyb souvisejících s SSL a průvodce generováním a importem globálně důvěryhodných certifikátů Let's Encrypt v Arch Linuxu, aby se zabránilo chybám „Připojení není zabezpečené“ a zajistil se plynulý a bezpečný přístup k WebGUI.

Upozornění na ukončení životnosti produktu: Litujeme, že vás musíme informovat, že produkt „Zyxel NAS Devices“ dosáhl konce své životnosti. V důsledku toho může být technická podpora tohoto zařízení omezená. Upozorňujeme, že jakákoli manipulace nebo používání zařízení, které je již na konci životnosti, je zcela na vaše vlastní riziko. Seznam zastaralých zařízení včetně dat jejich vyřazení a ukončení podpory naleznete na níže uvedeném odkazu. Tato stránka také poskytuje nejnovější aktualizovanou verzi pro vaše zařízení: Ukončení životnosti

Generování originálních samopodepsaných certifikátů na Zyxel NAS

Otevřete příkazový řádek. Pro připojení použijte následující příkaz s adresou vašeho NAS a potvrďte připojení, pokud budete vyzváni.

$ ssh root@192.168.1.33

Spusťte následující příkazy pro obnovení úložiště certifikátů do výchozího stavu (první řádek vynechejte, pokud chcete pouze vygenerovat nové certifikáty). Budete vyzváni k zadání informací o certifikátu. Výchozí hodnoty jsou dostatečné, takže jen stiskněte Enter, dokud se znovu neobjeví příkazový řádek.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

To je vše! Můžete klidně ukončit příkazový řádek. Možná bude také potřeba NAS restartovat, aby se změny projevily.

# exit

Vytvoření certifikátů Let's Encrypt pro Zyxel NAS

Poznámka: Upozorňujeme, že se jedná o řešení na míru, které má jeden menší vedlejší efekt: když kliknete na záložku SSL v Ovládacím panelu, WebUI se uzamkne s chybou 500. Pokud k tomu dojde, můžete stránku obnovit a pokračovat v práci. Protože tato záložka nenabízí žádnou funkčnost potřebnou při použití tohoto návodu, jedná se o poměrně malou nevýhodu ve srovnání s výhodami použití certifikátu Let's Encrypt.

Ujistěte se, že váš Arch je aktualizovaný:

$ sudo pacman -Syu
  • Nainstalujte certbot, ACME klienta, který automatizuje proces vytváření certifikátu:
$ sudo pacman -S certbot
  • Ujistěte se, že váš Arch může naslouchat na portu 80, v případě potřeby přesměrujte port 80 na váš počítač. Vytvořte certifikát pomocí následujícího příkazu:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Poznámka: pokud se vám zobrazuje chyba „challenge failed for domain“, servery Let's Encrypt nemohou dosáhnout vašeho počítače. Prosím, zkontrolujte, zda je povoleno přesměrování portu a ujistěte se, že na portu 80 vašeho Archu neběží žádná služba. Můžete dočasně zastavit danou službu pomocí příkazu:

$ sudo systemctl stop httpd
  • Po tomto kroku ji můžete znovu povolit
$ sudo systemctl start httpd
  • Nyní můžete přesměrovat port 80 na váš NAS, a také port 443, pokud jste tak ještě neučinili.

Nahrání certifikátů Let's Encrypt na Zyxel NAS

Váš certifikát je připraven k nahrání na NAS, v tomto příkladu použijeme shellového klienta SFTP. Existuje však široká škála nástrojů, které můžete použít, pokud preferujete vizuální přístup, viz sekci Řešení problémů, kde jsou popsány další možnosti práce se SFTP v Archu. Mějte prosím na paměti, že pokud se rozhodnete přesunout certifikáty z jejich chráněného úložiště, ujistěte se, že jsou po přesunu smazány nebo zabezpečeny! Nikdy nesdílejte svůj soukromý klíč!

Připojte se k NAS s oprávněními root, zde použijeme sudo, jinak bychom nemohli číst certifikáty ze zabezpečeného úložiště:

$ sudo sftp root@[yournasaddress.zyxel.me]

Spusťte následující příkazy pro zkopírování certifikátů na jejich příslušná místa. Během procesu vytvoříme zálohy, abyste mohli v případě potíží obnovit původní certifikáty. Buďte prosím opatrní, pracujete s oprávněními root a každý příkaz bude zpracován bez dotazu. Pečlivě zkontrolujte překlepy. Pro dokončení názvů souborů a adresářů můžete po napsání prvních pár písmen stisknout Tab, což vám také pomůže předejít překlepům. Pamatujte také, že názvy jsou rozlišující velikost písmen jak na NAS, tak na Archu nebo jiném Linuxu!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

To je vše! Můžete ukončit SFTP příkazem exit a restartovat NAS!

sftp> exit

Po restartu se můžete přihlásit a ověřit výsledky. Ujistěte se, že je SSL povoleno v Ovládacím panelu > Síť > TCP/IP > Web konfigurátor. Na této záložce můžete také vynutit použití HTTPS, pokud si přejete.
secure_NAS.png

Obnova certifikátů Let's Encrypt pro Zyxel NAS

Certifikáty Let's Encrypt jsou záměrně poměrně krátkodobé. Platnost certifikátu je 90 dní od data vydání. Pro obnovu certifikátu je potřeba znovu přesměrovat porty na Arch Linuxu, znovu spustit příkaz certbot a certifikát opět nahrát na NAS.

Řešení problémů

  • Běžné problémy a řešení: Někteří uživatelé narazili na problém, kdy NAS zobrazoval „500 Internal Server Error“ po pokusu o import certifikátu. Řešení zahrnovala ověření formátu certifikátu a zajištění správného umístění všech potřebných souborů v adresáři NAS. Jiní doporučovali zkontrolovat konfiguraci Apache a ručně restartovat webový server pro vyřešení těchto problémů​ (Zyxel Community)​​ (Zyxel Community)​.
  • Automatizace obnovy certifikátů: Automatizace obnovy certifikátů Let's Encrypt byla dalším často diskutovaným tématem. Uživatelé sdíleli skripty, které automaticky kopírují obnovené certifikáty na NAS a restartují webové služby. To zahrnuje nastavení nevolatilního úložiště pro kořenový adresář a konfiguraci SSH klíčů pro neinteraktivní přihlášení​ (Zyxel Community)​.
  • Samopodepsané certifikáty: Ti, kteří spoléhají na samopodepsané certifikáty, narazili na problémy s přístupem k webovému rozhraní NAS po povolení HTTPS. Často se doporučuje dočasně zakázat HTTPS pomocí SSH příkazů, pokud nemůžete přistupovat k webovému rozhraní, jak je podrobně popsáno v diskusi o úpravě konfiguračních souborů Apache​ (Zyxel Community)​.
  • Instalace a správa certifikátů: Mnoho uživatelů mělo problémy s instalací SSL certifikátů na zařízeních Zyxel NAS. Běžným problémem bylo, že NAS po restartu přepnul zpět na svůj samopodepsaný certifikát. Pro vyřešení tohoto problému uživatelé doporučovali smazat soubor CA.cer v adresáři /etc/zyxel/cert, což donutilo NAS používat místo něj soubor default.cer. Toto pomohlo uživatelům úspěšně implementovat certifikáty od autorit jako Let's Encrypt​ (Zyxel Community)​​ (Zyxel Community)
  • Zobrazuje se mi „challenge failed“ pro doménu [mydomain]!
    Tato chyba obvykle znamená, že váš Arch není dostupný ze serveru CA pro ověření pravosti. Zkontrolujte, zda je port 80 přesměrován na váš Arch a že na portu 80 již neběží žádná služba (např. apache).
  • Importoval jsem certifikáty, nyní můj NAS neodpovídá na http ani https!
    To znamená, že webový server NAS narazil na problém při spuštění, pravděpodobně jste při nahrávání certifikátů něco zaměnili. Nemusíte panikařit, SSH/SFTP by měly stále fungovat.

  • Nechce se mi pracovat s Terminálem, máte nějaké jiné tipy?
    Pokud vám to vyhovuje více, můžete použít správce souborů Gnome Nautilus pro spuštění SFTP relace s NAS pro kopírování souborů.
    nautilus.png
    Pokud nemáte nainstalovaný Gnome (například používáte Arch Live CD), existuje terminálový orthodox commander s podporou SFTP nazvaný Midnight Commander, který by měl fungovat i na velmi základním Archu. Pro instalaci a spuštění jako root zadejte:

    $ sudo pacman -S mc
$ sudo mc

Jen malé upozornění: Zařízení Zyxel NAS dosáhla konce své podpory. Chápeme, že to může být nepříjemné, proto vám doporučujeme navštívit naše fórum nebo prozkoumat sekci NAS v naší znalostní databázi pro všechny podrobnosti. Můžete také najít seznam zastaralých zařízení a jejich časové osy podpory na níže uvedeném odkazu.

Děkujeme vám za pochopení a trpělivost!

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 1 z 5
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.