Zyxel Network-Attached Storage NAS – So importieren oder regenerieren Sie Zertifikate auf Zyxel NAS-Speicher

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen
Dieser Artikel bietet eine kurze Anleitung zum Erstellen neuer selbstsignierter Zertifikate auf einem NAS zur Behebung von SSL-bezogenen Fehlern sowie eine Anleitung zum Erzeugen und Importieren global vertrauenswürdiger Let's Encrypt-Zertifikate unter Arch Linux, um „Verbindung nicht sicher“-Fehler zu vermeiden und einen nahtlosen und sicheren Zugriff auf die WebGUI zu gewährleisten.

Produkt-End-of-Life-Hinweis: Wir bedauern, Ihnen mitteilen zu müssen, dass das Produkt „Zyxel NAS-Geräte“ das Ende seiner Lebensdauer erreicht hat. Daher kann der technische Support für dieses Gerät eingeschränkt sein. Bitte beachten Sie, dass jede Manipulation oder Nutzung eines bereits end-of-life-Geräts vollständig auf eigenes Risiko erfolgt. Eine Liste veralteter Geräte, einschließlich deren Ausmusterungs- und End-of-Support-Daten, finden Sie unter folgendem Link. Diese Seite bietet auch die aktuellste Version für Ihr Gerät: End of Life

Erzeugen von original selbstsignierten Zertifikaten auf Zyxel NAS

Öffnen Sie eine Kommandozeile. Zum Verbinden verwenden Sie folgenden Befehl mit der Adresse Ihres NAS und bestätigen die Verbindung, falls Sie dazu aufgefordert werden.

$ ssh root@192.168.1.33

Führen Sie die folgenden Befehle aus, um das Zertifikatsverzeichnis auf die Standardeinstellungen zurückzusetzen (lassen Sie die erste Zeile weg, wenn Sie nur neue Zertifikate erzeugen möchten). Sie werden aufgefordert, Informationen zum Zertifikat einzugeben. Die Standardwerte sind ausreichend, drücken Sie also einfach Enter, bis Sie wieder die Eingabeaufforderung sehen.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Das war’s! Sie können die Kommandozeile jetzt verlassen. Möglicherweise müssen Sie das NAS neu starten, damit die Änderungen wirksam werden.

# exit

Let's Encrypt-Zertifikate für Zyxel NAS erstellen

Hinweis: Bitte beachten Sie, dass dies eine Umgehungslösung ist und daher einen kleinen Nebeneffekt hat: Wenn Sie im Control Panel auf den SSL-Reiter klicken, sperrt sich die WebUI mit Fehler 500. Sollte dies passieren, können Sie die Seite aktualisieren und Ihre Arbeit fortsetzen. Da dieser Reiter keine Funktionalität bietet, die bei Verwendung dieser Anleitung benötigt wird, stellt dies einen eher kleinen Nachteil im Vergleich zu den Vorteilen der Nutzung des Let's Encrypt-Zertifikats dar.

Stellen Sie sicher, dass Ihr Arch-System auf dem neuesten Stand ist:

$ sudo pacman -Syu
  • Installieren Sie certbot, einen ACME-Client, der den Prozess der Zertifikatserstellung automatisiert:
$ sudo pacman -S certbot
  • Stellen Sie sicher, dass Ihr Arch auf Port 80 lauschen kann, und leiten Sie bei Bedarf Port 80 an Ihre Maschine weiter. Erstellen Sie ein Zertifikat mit folgendem Befehl:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Hinweis: Falls Sie einen „challenge failed for domain“-Fehler erhalten, können die Let's Encrypt-Server Ihre Maschine nicht erreichen. Bitte überprüfen Sie, ob die Portweiterleitung aktiviert ist und stellen Sie sicher, dass kein Dienst auf Port 80 Ihres Arch läuft. Sie können den betreffenden Dienst vorübergehend mit folgendem Befehl stoppen:

$ sudo systemctl stop httpd
  • Nach diesem Schritt können Sie den Dienst wieder starten
$ sudo systemctl start httpd
  • Sie können nun Port 80 sowie Port 443 an Ihr NAS weiterleiten, falls Sie dies noch nicht getan haben.

Let's Encrypt-Zertifikate für Zyxel NAS hochladen

Ihr Zertifikat ist bereit zum Hochladen auf Ihr NAS. In diesem Beispiel verwenden wir einen shellbasierten SFTP-Client. Es gibt jedoch eine Vielzahl von Tools, die Sie nutzen können, wenn Sie eine visuellere Herangehensweise bevorzugen. Siehe dazu den Abschnitt „Fehlerbehebung“, in dem weitere Optionen für den Umgang mit SFTP unter Arch beschrieben werden. Bitte beachten Sie, dass wenn Sie Zertifikate aus ihrem geschützten Speicher verschieben, stellen Sie sicher, dass sie danach gelöscht oder gesichert werden! Teilen Sie niemals Ihren privaten Schlüssel!

Verbinden Sie sich mit Root-Rechten zu Ihrem NAS, wir verwenden hier sudo, da wir sonst die Zertifikate aus dem geschützten Speicher nicht lesen können:

$ sudo sftp root@[yournasaddress.zyxel.me]

Führen Sie folgende Befehle aus, um die Zertifikate an die jeweiligen Positionen zu kopieren. Wir erstellen während des Vorgangs Sicherungen, sodass Sie die Originalzertifikate wiederherstellen können, falls etwas schiefgeht. Bitte seien Sie vorsichtig, Sie arbeiten mit Root-Rechten und jeder Befehl wird ohne Nachfrage ausgeführt. Überprüfen Sie Tippfehler genau. Sie können Dateinamen und Verzeichnisse auch mit Tab abschließen, nachdem Sie die ersten Buchstaben eingegeben haben – das hilft ebenfalls, Tippfehler zu vermeiden. Beachten Sie auch, dass Namen sowohl auf dem NAS als auch auf Arch oder anderen Linux-Systemen groß- und kleinschreibungssensitiv sind!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Das war’s! Sie können SFTP mit dem Befehl exit verlassen und Ihr NAS neu starten!

sftp> exit

Nach dem Neustart können Sie sich anmelden und die Ergebnisse überprüfen. Stellen Sie sicher, dass SSL im Control Panel > Netzwerk > TCP/IP > Web Configurator aktiviert ist. Sie können auf diesem Reiter auch die Nutzung von HTTPS erzwingen, falls gewünscht.
secure_NAS.png

Erneuerung von Let's Encrypt-Zertifikaten für Zyxel NAS

Let's Encrypt-Zertifikate sind von Haus aus relativ kurzlebig. Zertifikate sind ab Ausstellungsdatum 90 Tage gültig. Um Ihr Zertifikat zu erneuern, müssen Sie die Ports auf Ihrem Arch Linux erneut weiterleiten, den certbot-Befehl erneut ausführen und das Zertifikat wieder auf Ihr NAS hochladen.

Fehlerbehebung

  • Häufige Probleme und Lösungen: Einige Nutzer berichteten, dass das NAS nach dem Versuch, ein Zertifikat zu importieren, einen „500 Internal Server Error“ anzeigte. Lösungen beinhalteten die Überprüfung des Zertifikatsformats und die Sicherstellung, dass alle notwendigen Dateien korrekt im NAS-Verzeichnis abgelegt wurden. Andere empfahlen, die Apache-Konfiguration zu prüfen und den Webserver manuell neu zu starten, um diese Probleme zu beheben​ (Zyxel Community)​​ (Zyxel Community)​.
  • Automatisierung der Zertifikatserneuerung: Die Automatisierung der Erneuerung von Let's Encrypt-Zertifikaten war ein weiteres häufig diskutiertes Thema. Nutzer teilten Skripte, die die erneuerten Zertifikate automatisch auf das NAS kopieren und die Webdienste neu starten. Dies beinhaltet die Einrichtung eines nichtflüchtigen Speichers für das Root-Verzeichnis und die Konfiguration von SSH-Schlüsseln für die nicht-interaktive Anmeldung​ (Zyxel Community)​.
  • Selbstsignierte Zertifikate: Anwender, die auf selbstsignierte Zertifikate setzen, berichteten von Problemen beim Zugriff auf die NAS-Weboberfläche nach Aktivierung von HTTPS. Es wird oft empfohlen, HTTPS vorübergehend über SSH-Befehle zu deaktivieren, falls kein Zugriff auf die Weboberfläche möglich ist, wie in einer Diskussion über die Modifikation der Apache-Konfigurationsdateien beschrieben​ (Zyxel Community)​.
  • Installation und Verwaltung von Zertifikaten: Viele Nutzer hatten Probleme bei der Installation von SSL-Zertifikaten auf Zyxel NAS-Geräten. Ein häufiges Problem war, dass das NAS nach einem Neustart wieder auf sein selbstsigniertes Zertifikat zurückfiel. Zur Behebung wurde empfohlen, die Datei CA.cer im Verzeichnis /etc/zyxel/cert zu löschen, wodurch das NAS gezwungen wird, stattdessen die Datei default.cer zu verwenden. Dies hat vielen Nutzern geholfen, Zertifikate von Autoritäten wie Let's Encrypt erfolgreich einzusetzen​ (Zyxel Community)​​ (Zyxel Community)
  • Ich bekomme „challenge failed“ für die Domain [mydomain]!
    Dieser Fehler bedeutet in der Regel, dass Ihr Arch vom CA-Server nicht erreicht werden kann, um die Authentizität zu überprüfen. Bitte prüfen Sie, ob Port 80 an Ihre Arch-Maschine weitergeleitet wird und dass kein Dienst (z. B. Apache) bereits auf Port 80 läuft.
  • Ich habe Zertifikate importiert, jetzt reagiert mein NAS weder auf http noch auf https!
    Dies weist darauf hin, dass der Webserver des NAS beim Start ein Problem hatte, vermutlich haben Sie beim Hochladen der Zertifikate etwas vertauscht. Keine Panik, SSH/SFTP sollte weiterhin funktionieren.

  • Ich möchte Dateien nicht über das Terminal verwalten, gibt es andere Vorschläge?
    Wenn es Ihnen lieber ist, können Sie den Dateimanager Nautilus von Gnome verwenden, um eine SFTP-Sitzung mit dem NAS zum Kopieren der Dateien zu starten.
    nautilus.png
    Falls Sie Gnome nicht installiert haben (vielleicht verwenden Sie das Arch Live-CD), gibt es den Terminal-basierten orthodoxen Dateimanager mit SFTP-Unterstützung namens Midnight Commander, der auch auf einer sehr minimalistischen Arch-Installation laufen sollte. Zur Installation und Ausführung als Root geben Sie ein:

    $ sudo pacman -S mc
$ sudo mc

Nur zur Info: Zyxel NAS-Geräte haben das Ende ihrer Support-Periode erreicht. Wir wissen, dass das unangenehm sein kann. Um Ihnen zu helfen, besuchen Sie bitte unser Forum oder schauen Sie im NAS-Bereich unserer Wissensdatenbank nach allen Details. Eine Liste veralteter Geräte und deren Support-Zeiträume finden Sie ebenfalls unter folgendem Link.

Vielen Dank für Ihr Verständnis und Ihre Geduld!

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
1 von 5 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.