Zyxel Network-Attached Storage NAS - Sådan importeres eller regenereres certifikat på Zyxel NAS-lagring

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning
Denne artikel giver en hurtig vejledning i at oprette nye selvsignerede certifikater på en NAS for at løse SSL-relaterede fejl samt en guide til at generere og importere globalt betroede Let's Encrypt-certifikater i Arch Linux for at undgå fejlmeddelelsen "Forbindelse ikke sikker" og sikre problemfri og sikker adgang til WebGUI.

Produktmeddelelse om udløb: Vi beklager at informere dig om, at produktet "Zyxel NAS-enheder" har nået slutningen af sin brugstid. Som følge heraf kan den tekniske support for denne enhed være begrænset. Vær venligst opmærksom på, at enhver håndtering eller brug af en enhed, der allerede er udgået, sker helt på eget ansvar. Du kan finde en liste over forældede enheder, inklusive deres udfasnings- og support-slutdatoer, via nedenstående link. Denne side tilbyder også den senest opdaterede version til din enhed: End of Life

Generering af originale selvsignerede certifikater på Zyxel NAS

Åbn en kommandoprompt. For at oprette forbindelse, brug følgende kommando med adressen til din NAS og godkend forbindelsen, hvis du bliver bedt om det.

$ ssh root@192.168.1.33

Kør følgende kommandoer for at gendanne certifikatlageret til standard (spring den første linje over, hvis du kun vil generere nye certifikater). Du vil blive bedt om at indtaste oplysninger om certifikatet. Standardindstillingerne er tilstrækkelige, så tryk blot enter, indtil du er tilbage ved kommandoprompten.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Det var det! Du kan nu lukke kommandoprompten. Det kan også være nødvendigt at genstarte NAS'en for at ændringerne træder i kraft.

# exit

Opret Let's Encrypt-certifikater til Zyxel NAS

Bemærk: Husk venligst, at dette er en løsning, og som sådan har den en mindre bivirkning: Når du klikker på SSL-fanen i Kontrolpanelet, låses WebUI med fejl 500. Hvis dette sker, kan du opdatere siden og fortsætte dit arbejde. Da denne fane ikke tilbyder nogen funktionalitet, der er nødvendig ved brug af denne guide, er dette en forholdsvis lille ulempe sammenlignet med fordelene ved at bruge Let's Encrypt-certifikatet. 

Sørg for, at din Arch er opdateret:

$ sudo pacman -Syu
  • Installer certbot, en ACME-klient, der automatiserer processen med certifikatoprettelse:
$ sudo pacman -S certbot
  • Sørg for, at din Arch kan lytte på port 80, og om nødvendigt videresend port 80 til din maskine. Opret et certifikat med følgende kommando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Bemærk: Hvis du får fejlen "challenge failed for domain", kan Let's Encrypt-serverne ikke nå din maskine. Kontroller venligst, at port forwarding er aktiveret, og at ingen tjeneste allerede kører på port 80 på din Arch. Du kan midlertidigt stoppe den pågældende tjeneste med kommandoen:

$ sudo systemctl stop httpd
  • Efter dette trin kan du aktivere den igen
$ sudo systemctl start httpd
  • Du kan nu videresende port 80 til din NAS, samt port 443, hvis du ikke allerede har gjort det.

Upload Let's Encrypt-certifikater til Zyxel NAS

Dit certifikat er klar til at blive uploadet til din NAS. I dette eksempel bruger vi en shell-baseret SFTP-klient. Der findes dog mange forskellige værktøjer til dette, hvis du foretrækker en mere visuel tilgang. Se fejlfinding-sektionen, hvor andre muligheder for håndtering af SFTP i Arch beskrives. Husk, at hvis du vælger at flytte certifikater fra deres beskyttede lager, sørg for at slette eller sikre dem bagefter! Del aldrig din private nøgle!

Opret forbindelse til din NAS med root-rettigheder. Vi bruger sudo her, ellers vil vi ikke kunne læse certifikaterne fra det sikre lager:

$ sudo sftp root@[yournasaddress.zyxel.me]

Kør følgende kommandoer for at kopiere certifikaterne til deres respektive placering. Vi laver backups under processen, så du kan gendanne de originale certifikater, hvis noget går galt. Vær forsigtig, du kører med root-rettigheder, og alle kommandoer udføres uden yderligere forespørgsel. Tjek for stavefejl. Du kan også fuldføre fil- og mappenavne ved at trykke på Tab efter de første par bogstaver, hvilket også hjælper med at undgå fejl. Husk også, at navne er case-sensitive både på NAS og Arch eller andre Linux-systemer!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Det er det! Du kan afslutte SFTP med kommandoen exit og genstarte din NAS!

sftp> exit

Efter genstart kan du logge ind og verificere resultaterne. Sørg for, at SSL er aktiveret i Kontrolpanel > Netværk > TCP/IP > Webkonfigurator. Du kan også vælge at tvinge brugen af HTTPS på denne fane, hvis du ønsker det.
secure_NAS.png

Fornyelse af Let's Encrypt-certifikater til Zyxel NAS

Let's Encrypt-certifikater er designet til at være kortvarige. Certifikaterne er gyldige i 90 dage fra udstedelsesdatoen. For at forny dit certifikat skal du igen videresende portene på din Arch Linux, køre certbot-kommandoen på ny og uploade certifikatet til din NAS igen.

Fejlfinding

  • Almindelige problemer og løsninger: Nogle brugere oplevede, at NAS'en viste en "500 Internal Server Error" efter forsøg på at importere et certifikat. Løsninger omfattede at verificere certifikatets format og sikre, at alle nødvendige filer var korrekt placeret i NAS-mappen. Andre foreslog at kontrollere Apache-konfigurationen og manuelt genstarte webserveren for at løse disse problemer​ (Zyxel Community)​​ (Zyxel Community)​.
  • Automatisering af certifikatfornyelse: Automatisering af fornyelsen af Let's Encrypt-certifikater var et andet hyppigt diskuteret emne. Brugere delte scripts, der automatisk kopierer de fornyede certifikater til NAS og genstarter webtjenesterne. Dette indebærer opsætning af ikke-flygtig lagring til rodmappen og konfiguration af SSH-nøgler til ikke-interaktiv login​ (Zyxel Community)​.
  • Selvsignerede certifikater: For dem, der er afhængige af selvsignerede certifikater, oplevede nogle problemer med at få adgang til NAS' webinterface efter aktivering af HTTPS. Det anbefales ofte midlertidigt at deaktivere HTTPS via SSH-kommandoer, hvis du ikke kan få adgang til webinterfacet, som beskrevet i en diskussion om ændring af Apache-konfigurationsfilerne​ (Zyxel Community)​.
  • Installation og håndtering af certifikater: Mange brugere oplevede problemer med at installere SSL-certifikater på Zyxel NAS-enheder. Et almindeligt problem er, at NAS'en vender tilbage til sit selvsignerede certifikat efter genstart. For at løse dette foreslog brugere at slette filen CA.cer i mappen /etc/zyxel/cert, hvilket tvinger NAS'en til at bruge default.cer-filen i stedet. Dette har hjulpet brugere med succes at implementere certifikater fra myndigheder som Let's Encrypt​ (Zyxel Community)​​ (Zyxel Community)
  • Jeg får "challenge failed" for domænet [mydomain]!
    Denne fejl betyder normalt, at din Arch ikke kan nås af CA's server for at verificere ægtheden. Kontroller venligst, om port 80 er videresendt til din Arch-maskine, og at ingen tjeneste allerede kører på port 80 (apache?).
  • Jeg har importeret certifikater, men min NAS reagerer ikke på hverken http eller https!
    Dette indikerer, at NAS'ens webserver stødte på et problem under opstart. Mest sandsynligt har du blandet noget sammen ved upload af certifikater til din NAS. Men der er ingen grund til panik, SSH/SFTP burde stadig fungere.

  • Jeg har ikke lyst til at bruge Terminal til at håndtere filer, har du andre forslag?
    Hvis det er mere behageligt for dig, kan du bruge Gnomes Nautilus filudforsker til at køre SFTP-sessionen med NAS for at kopiere filer.
    nautilus.png
    Hvis du ikke har Gnome installeret (måske bruger du Arch's Live CD), findes der en Terminal-orthodox-commander med SFTP-support kaldet Midnight Commander, som burde køre selv på en meget basal Arch-installation. For at installere og køre som root, skriv:

    $ sudo pacman -S mc
$ sudo mc

En lille advarsel: Zyxel NAS-enheder har nået slutningen af deres supportperiode. Vi forstår, at dette kan være upraktisk, så for at hjælpe dig, besøg venligst vores forum eller udforsk NAS-sektionen i vores vidensbase for alle detaljer. Du kan også finde en liste over forældede enheder og deres supporttidslinjer via nedenstående link.

Mange tak for din forståelse og tålmodighed!

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
1 ud af 5 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.