Dringend! Sicherheitshinweis - Firmware-Upgrade-Ratschläge für optimalen Schutz & VPN- und GUI-Stabilitäts-Probleme

Artikel lesen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

So importieren Sie das Let's Encrypt-Zertifikat in den Speicher der NAS-Serie NAS icon

Avatar
David Mössner
  • Aktualisiert

Diese Anleitung hilft Ihnen dabei, ein global vertrauenswürdiges Let's Encrypt-Zertifikat unter Arch Linux zu erstellen und Ihre neuen Let's Encrypt-Zertifikate (oder andere) auf Ihren NAS zu importieren, um den Fehler "Verbindung nicht sicher", der durch Selbstsignierung verursacht wird, effektiv zu beseitigen, es sei denn, es wird auf dem Client als vertrauenswürdig hinzugefügt

Beachten Sie bitte, dass dies eine Problemumgehung ist und daher einen geringfügigen Nebeneffekt hat: Wenn Sie in der Systemsteuerung auf die Registerkarte SSL klicken, wird die WebUI mit Fehler 500 gesperrt. In diesem Fall können Sie die Seite aktualisieren und die Arbeit fortsetzen. Da diese Registerkarte keine Funktionen bietet, die für die Verwendung dieser Anleitung erforderlich ist, ist dies ein geringfügiger Rückschlag im Vergleich zu den Vorteilen der Verwendung des Let's Encrypt-Zertifikats.

Voraussetzungen:

  • Ausführen von Arch Linux oder einer anderen Linux-basierten Betriebssystemumgebung (Befehle können geringfügig variieren. Wenn Sie beispielsweise mit Ubuntu vertraut sind, erhalten Sie in diesem Artikel möglicherweise einen Hinweis, der einen ähnlichen Ansatz für USGs beschreibt, da sowohl Ubuntu als auch Raspbian Debian-basierend sind). Die Installation der Linux-Umgebung ist für diesen Artikel nicht zulässig. Eine Distribution Ihrer Wahl finden Sie im Installationshandbuch. Mit Arch sollten Sie jedoch nur die Live-CD hochfahren und direkt von der Ramdisk starten.
  • Speicher der NAS-Serie mit der neuesten Firmware (getestet auf NAS326 mit V5.21 (AAZF.5))
  • Stellen Sie sicher, dass SSH auf dem NAS aktiv ist.
    mceclip0.png

Inhaltsverzeichnis:

Zertifikate erstellen

  1. Stellen Sie sicher, dass Ihr Arch auf dem neuesten Stand ist: 
    $ sudo pacman -Syu
  2. Installieren Sie certbot, einen ACME-Client, der den Prozess der Zertifikaterstellung automatisiert: 
    $ sudo pacman -S certbot
  3. Stellen Sie sicher, dass Ihr Arch Port 80 abhören kann. Leiten Sie Port 80 bei Bedarf an Ihren Computer weiter.
  4. Erstellen Sie ein Zertifikat mit dem folgenden Befehl: 
    $ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]
    Hinweis: Wenn der Fehler "challenge failed for domain" auftritt, können Let's Encrypt-Server Ihren Computer nicht erreichen. Stellen Sie sicher, dass die Weiterleitung von Port aktiviert ist, und stellen Sie sicher, dass derzeit kein Dienst unter Port 80 Ihres Arch ausgeführt wird. Sie können den betreffenden Dienst vorübergehend mit dem folgenden Befehl beenden: 
    $ sudo systemctl stop httpd
    Nach diesem Schritt können Sie es wieder aktivieren 
    $ sudo systemctl start httpd
  5. Sie können jetzt Ihren Port 80 an Ihren NAS und auch Port 443 weiterleiten, falls Sie ihn nicht bereits festgelegt haben.

Hochladen Ihrer Zertifikate

Ihr Zertifikat kann jetzt auf Ihr NAS hochgeladen werden. In diesem Beispiel verwenden wir einen Shell-basierten SFTP-Client. Es gibt jedoch eine Vielzahl von Tools, um dies zu erreichen, wenn Sie einen visuelleren Ansatz bevorzugen. Weitere Informationen finden Sie im Abschnitt Fehlerbehebung . Dort werden weitere Optionen für den Umgang mit SFTP in Arch beschrieben. Beachten Sie bitte, dass Sie Zertifikate, wenn Sie sie aus ihrem geschützten Speicher verschieben möchten, anschließend löschen oder sichern müssen! Teilen Sie niemals Ihren privaten Schlüssel!

  1. Stellen Sie mit Root-Berechtigungen eine Verbindung zu Ihrem NAS her. Wir verwenden hier sudo. Andernfalls können wir die Zertifikate nicht aus dem sicheren Speicher lesen: 
    $ sudo sftp root@[yournasaddress.zyxel.me]
  2. Führen Sie die folgenden Befehle aus, um die Zertifikate an ihre jeweilige Position zu kopieren. Wir werden während des Vorgangs Backups erstellen, damit Sie Originalzertifikate wiederherstellen können, falls etwas schief geht. Bitte seien Sie vorsichtig , Sie laufen unter Root-Berechtigungen und jeder Befehl wird ohne Aufforderung verarbeitet. Überprüfen Sie Tippfehler. Sie können Datei- und Verzeichnisnamen auch beenden, indem Sie nach den ersten Buchstaben die Tabulatortaste drücken. Dies hilft Ihnen auch, Tippfehler zu vermeiden. Beachten Sie auch, dass bei Namen sowohl bei NAS als auch bei Arch oder jedem anderen Linux zwischen Groß- und Kleinschreibung unterschieden wird ! 
    sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
    sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
    sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
    sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer
  3. Das waren alle Einstellungen! Sie können das SFTP mit dem Befehl exit beenden und Ihren NAS neu starten! 
    sftp> exit
  4. Nach dem Neustart können Sie sich anmelden und die Ergebnisse überprüfen. Stellen Sie sicher, dass SSL in Systemsteuerung> Netzwerk> TCP / IP> Webkonfigurator aktiviert ist. Auf Wunsch können Sie auch die Verwendung von HTTPS auf dieser Registerkarte erzwingen.
    Secure_NAS.png

Erneuerung des Zertifikats

Let's Encrypt-Zertifikate sind von Natur aus nur von kurzer Dauer. Zertifikate sind ab dem Tag der Ausstellung 90 Tage lang gültig. Um Ihr Zertifikat zu erneuern, müssen Sie die Ports auf Ihrem Arch Linux erneut weiterleiten, den Befehl certbot erneut ausführen und erneut auf Ihren NAS hochladen.

Fehlerbehebung

  • Ich bekomme "challenge failed" für Domain [mydomain]!

    Dieser Fehler bedeutet im Allgemeinen, dass Ihr Arch vom CA-Server nicht erreicht werden kann, um die Authentizität zu überprüfen. Bitte überprüfen Sie, ob Port 80 an Ihren Arch-Computer weitergeleitet wird und ob auf Port 80 bereits kein Dienst ausgeführt wird (Apache?)

  • Ich habe Zertifikate importiert, jetzt antwortet mein NAS weder auf http noch auf https!

    Dies weist darauf hin, dass der NAS-Webserver beim Start auf ein Problem gestoßen ist. Wahrscheinlich haben Sie beim Hochladen von Zertifikaten auf Ihr NAS Probleme. Keine Panik, SSH / SFTP sollte dennoch funktionieren. Falls Sie die Arbeitsbedingungen nicht erreichen können, lesen Sie bitte diesen Artikel.

  • Ich habe nicht wirklich Lust, Terminal für die Verarbeitung von Dateien zu verwenden. Haben Sie noch andere Vorschläge?

    Wenn es für Sie bequemer ist, können Sie den Nautilus-Datei-Explorer von Gnome verwenden, um die SFTP-Sitzung mit NAS zum Kopieren von Dateien auszuführen.

    nautilus.png

    Wenn Sie Gnome nicht installiert haben (möglicherweise befinden Sie sich auf der Live-CD von Arch), gibt es einen orthodoxen Terminal-Commander mit SFTP support namens Midnight Commander, der auch auf einem hübschen Barebone-Arch-Setup ausgeführt werden sollte. Geben Sie Folgendes ein: 
    $ sudo pacman -S mc
    $ sudo mc

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.