Vigtig meddelelse: |
Opret Let's Encrypt-certifikater til Zyxel NAS
Bemærk: Vær opmærksom på,at dette er en løsning, og som sådan har den en mindre bivirkning: Når du klikker på SSL-fanen i kontrolpanelet, låses WebUI ned med fejl 500 .Hvis det sker, kan du opdatere siden og fortsætte dit arbejde. Da denne fane ikke tilbyder nogen funktionalitet, der er nødvendig, når du bruger denne vejledning, er dette et ganske lille tilbageslag sammenlignet med fordelene ved at bruge Let's Encrypt-certifikatet.
Vær opmærksom på dette: Kører Arch Linux eller et andet Linux-baseret OS-miljø (kommandoerne kan variere lidt, hvis du f.eks. er mere fortrolig med Ubuntu, kan du måske få et hint i denne artikel, der beskriver en lignende tilgang til USG'er, da både Ubuntu og Raspbian er Debian-baserede). Installation af et Linux-miljø er ikke omfattet af denne artikel, så se venligst installationsvejledningen til en distro efter eget valg. Med Arch burde du dog kunne nøjes med at starte live-cd'en op og starte direkte fra ramdisken.
Sørg for, at din Arch er opdateret:
$ sudo pacman -Syu
- Installer certbot, en ACME-klient, der automatiserer processen med at oprette certifikater:
$ sudo pacman -S certbot
- Sørg for, at din Arch kan lytte på port 80. Hvis det er nødvendigt, skal du videresende port 80 til din maskine. Opret et certifikat ved hjælp af følgende kommando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]
Bemærk: Hvis du støder på fejlen "challenge failed for domain", kan Let's Encrypt-serverne ikke nå frem til din maskine. Dobbelttjek, at portforwarding er aktiveret, og sørg for, at ingen tjeneste kører på port 80 på din Arch. Du kan stoppe den pågældende tjeneste midlertidigt ved hjælp af kommandoen:
$ sudo systemctl stop httpd
- Efter dette trin er du velkommen til at aktivere den igen
$ sudo systemctl start httpd
- Du kan nu videresende din port 80 til din NAS, og også port 443, hvis du ikke allerede har indstillet den.
Upload Let's Encrypt-certifikater til Zyxel NAS
Dit certifikat er klar til at blive uploadet til din NAS, i dette eksempel vil vi bruge en shell-baseret SFTP-klient. Der er dog en lang række værktøjer til rådighed til at opnå dette, hvis du foretrækker en mere visuel tilgang, se afsnittet Fejlfinding, hvor der beskrives andre muligheder for at håndtere SFTP i Arch. Husk, at hvis du beslutter dig for at flytte certifikater fra deres beskyttede lager, skal du sørge for, at de slettes eller sikres bagefter! Del aldrig din private nøgle!
Opret forbindelse til din NAS med root-rettigheder, vi bruger sudo her, ellers ville vi ikke være i stand til at læse certifikaterne fra det sikre lager:
$ sudo sftp root@[yournasaddress.zyxel.me]
Kør følgende kommandoer for at kopiere certifikaterne til deres respektive positioner. Vi laver sikkerhedskopier under processen, så du kan gendanne de originale certifikater, hvis noget går galt. Vær forsigtig, du kører under root-rettigheder, og enhver kommando vil blive behandlet uden at spørge. Dobbelttjek stavefejl. Du kan også afslutte fil- og mappenavne ved at trykke på Tab efter de første par bogstaver, det hjælper dig også med at undgå tastefejl. Husk også, at der skelnes mellem store og små bogstaver i navne på både NAS og Arch eller enhver anden Linux!
dyn_repppppppp_9Nu er det nok! Du kan afslutte SFTP ved hjælp af exit-kommandoen og genstarte din NAS!
# find /etc/zyxel/cert -type f -delete0
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
Efter genstart kan du logge ind og kontrollere resultaterne. Sørg for, at SSL er aktiveret i Kontrolpanel > Netværk > TCP/IP > Webkonfigurator. Du kan også gennemtvinge HTTPS-brug på denne fane, hvis du ønsker det.
Fornyelse af Let's Encrypt-certifikater til Zyxel NAS
Let's Encrypt-certifikater er i sagens natur ret kortvarige. Certifikater er gyldige i 90 dage fra udstedelsesdagen. For at forny dit certifikat skal du videresende portene på din Arch Linux igen, køre certbot-kommandoen igen og uploade det på din NAS igen.
Fejlfinding
- Almindelige problemer og løsninger: Nogle brugere oplevede problemer, hvor NAS'en viste en "500 Internal Server Error" efter at have forsøgt at importere et certifikat. Løsningerne omfattede verificering af certifikatets format og sikring af, at alle nødvendige filer var placeret korrekt i NAS-biblioteket. Andre foreslog at kontrollere Apache-konfigurationen og manuelt genstarte webserveren for at løse disse problemer (Zyxel Community ) (Zyxel Community).
- Automatisering af certifikatfornyelse: Automatisering af fornyelsen af Let's Encrypt-certifikater var et andet hyppigt diskuteret emne. Brugerne delte scripts, der automatisk kopierer de fornyede certifikater til NAS'en og genstarter webtjenesterne. Dette indebærer opsætning af ikke-flygtig lagring til rodmappen og konfiguration af SSH-nøgler til ikke-interaktivt login(Zyxel Community).
- Selvsignerede certifikater: For dem, der er afhængige af selvsignerede certifikater, oplevede nogle problemer med at få adgang til NAS'ens webinterface efter aktivering af HTTPS. Det anbefales ofte at deaktivere HTTPS midlertidigt via SSH-kommandoer, hvis du ikke kan få adgang til webgrænsefladen, som beskrevet i en diskussion om ændring af Apache-konfigurationsfilerne (Zyxel Community).
-
Installation og administration af certifikater: Mange brugere oplevede problemer med at installere SSL-certifikater på Zyxel NAS-enheder. Et almindeligt problem er, at NAS'en vender tilbage til sit selvsignerede certifikat efter genstart. For at løse dette foreslog brugerne at slette
CA.cer-fileni/etc/zyxel/cert-biblioteket, hvilket tvinger NAS'en til at brugedefault.cer-fileni stedet. Dette har hjulpet brugere med at implementere certifikater fra myndigheder som Let's Encrypt (Zyxel Community) (ZyxelCommunity) -
Jeg får "challenge failed" for domain [mydomain]!
Denne fejl betyder generelt, at din Arch ikke kan nås af CA's server for at verificere ægtheden. Tjek venligst, om port 80 er viderestillet til din Arch-maskine, og at der ikke allerede kører en tjeneste på port 80 (apache?). -
Jeg har importeret certifikater, men nu svarer min NAS ikke på hverken http eller https!
Dette indikerer, at NAS'ens webserver er stødt på et problem under opstarten, og at du sandsynligvis har blandet tingene sammen, da du uploadede certifikater til din NAS. Der er dog ingen grund til panik, SSH/SFTP burde stadig fungere. Hvis du ikke kan få det til at fungere, kan du læse denne artikel. -
Jeg har ikke rigtig lyst til at bruge Terminal til at håndtere filer, er der andre forslag?
Hvis det er mere behageligt for dig, kan du bruge Gnomes Nautilus-filudforsker til at køre SFTP-sessionen med NAS for at kopiere filer.
Hvis du ikke har Gnome installeret (måske er du på Archs Live CD), er der en Terminal orthodox commander med SFTP-understøttelse, der hedder Midnight Commander, som burde køre selv på en ret barebone Arch-opsætning, skriv for at installere og køre som root:
# find /etc/zyxel/cert -type f -delete
1
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
Bare en advarsel: Zyxel NAS-enheder har nået slutningen af deres supportperiode. Vi forstår, at det kan være ubelejligt, så for at hjælpe dig kan du besøge vores forum eller gå på opdagelse i NAS-sektionen i vores vidensbase for at få alle detaljerne. Du kan også finde en liste over forældede enheder og deres support-tidslinjer på nedenstående link.
Tusind tak for jeres forståelse og tålmodighed!
Kommentarer
0 kommentarerLog ind for at kommentere.