Zyxel Network-Attached Storage [NAS] - Wie importiert oder regeneriert man ein Zertifikat auf einem Zyxel NAS-Speicher?

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Dieser Artikel bietet eine kurze Anleitung zur Erstellung neuer selbstsignierter Zertifikate auf einem NAS, um SSL-bezogene Fehler zu beheben, sowie eine Anleitung zur Erstellung und zum Import global vertrauenswürdiger Let's Encrypt-Zertifikate in Arch Linux, um Fehler wie "Verbindung nicht sicher" zu vermeiden und einen nahtlosen und sicheren WebGUI-Zugang zu gewährleisten.
End-of-Life Product Notice: Wir bedauern Ihnen mitteilen zu müssen, dass das Produkt "Zyxel NAS Devices" das Ende seiner Nutzungsdauer erreicht hat. Aus diesem Grund kann der technische Support für dieses Gerät eingeschränkt sein. Bitte beachten Sie, dass jegliche Manipulation oder Verwendung eines Gerätes, das bereits das Ende seiner Lebensdauer erreicht hat, auf Ihr eigenes Risiko erfolgt. Eine Liste der veralteten Geräte, einschließlich des Datums ihrer Ausmusterung und des Endes des Supports, finden Sie unter dem unten stehenden Link. Auf dieser Seite finden Sie auch die letzte aktualisierte Version für Ihr Gerät: Ende der Lebensdauer

Generierung von originalen selbstsignierten Zertifikaten auf Zyxel NAS

Öffnen Sie eine Eingabeaufforderung. Verwenden Sie zum Herstellen einer Verbindung den folgenden Befehl mit der Adresse Ihres NAS und bestätigen Sie die Verbindung, wenn Sie dazu aufgefordert werden.

$ ssh root@192.168.1.33

Führen Sie die folgenden Befehle aus, um das Zertifikats-Repository auf die Standardwerte zurückzusetzen (lassen Sie die erste Zeile weg, um nur neue Zertifikate zu generieren). Sie werden aufgefordert, Informationen über das Zertifikat einzugeben. Die Standardeinstellungen sind ausreichend, drücken Sie also einfach die Eingabetaste, bis Sie wieder die Eingabeaufforderung erreichen.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Das war's schon! Sie können die Eingabeaufforderung verlassen. Möglicherweise müssen Sie auch den NAS neu starten, damit die Änderungen wirksam werden.

# exit

Let's Encrypt-Zertifikate für Zyxel NAS erstellen

Hinweis: Bitte beachten Sie, dass es sich hierbei um eine Umgehungslösung handelt, die einen kleinen Nebeneffekt hat: Wenn Sie in der Systemsteuerung auf die Registerkarte SSL klicken, bricht die WebUI mit Fehler 500 ab. Wenn dies passiert, können Sie die Seite aktualisieren und Ihre Arbeit fortsetzen. Da diese Registerkarte keine Funktionen bietet, die für die Verwendung dieses Leitfadens erforderlich sind, ist dies ein kleiner Rückschlag im Vergleich zu den Vorteilen der Verwendung des Let's Encrypt-Zertifikats.

Bitte beachten Sie: Verwenden Sie Arch Linux oder eine andere Linux-basierte Betriebssystemumgebung (die Befehle können leicht variieren, wenn Sie z. B. mit Ubuntu besser zurechtkommen, finden Sie vielleicht einen Hinweis in diesem Artikel, der eine ähnliche Vorgehensweise für USGs beschreibt, da sowohl Ubuntu als auch Raspbian auf Debian basieren). Die Installation einer Linux-Umgebung sprengt den Rahmen dieses Artikels, bitte lesen Sie die Installationsanleitung für eine Distribution Ihrer Wahl. Bei Arch sollte es jedoch genügen, die Live-CD zu booten und direkt von der Ramdisk zu starten.

Stellen Sie sicher, dass Ihr Arch auf dem neuesten Stand ist:

$ sudo pacman -Syu
  • Installieren Sie certbot, einen ACME-Client, der den Prozess der Zertifikatserstellung automatisiert:
$ sudo pacman -S certbot
  • Vergewissern Sie sich, dass Ihr Arch auf Port 80 lauschen kann, leiten Sie ggf. Port 80 auf Ihren Rechner weiter. Erstellen Sie ein Zertifikat mit dem folgenden Befehl:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Hinweis: Wenn Sie die Fehlermeldung "challenge failed for domain" erhalten, können die Let's Encrypt-Server Ihren Rechner nicht erreichen. Bitte überprüfen Sie, ob die Portweiterleitung aktiviert ist und stellen Sie sicher, dass derzeit kein Dienst auf Port 80 Ihres Arch. Sie können den fraglichen Dienst vorübergehend stoppen, indem Sie den Befehl

$ sudo systemctl stop httpd
  • Nach diesem Schritt können Sie ihn wieder aktivieren
$ sudo systemctl start httpd
  • Sie können nun den Port 80 an Ihr NAS weiterleiten, und auch den Port 443, falls Sie ihn nicht bereits eingestellt haben.

Hochladen von Let's Encrypt-Zertifikaten für Zyxel NAS

Ihr Zertifikat kann nun auf Ihr NAS hochgeladen werden. In diesem Beispiel verwenden wir einen Shell-basierten SFTP-Client. Es gibt jedoch eine breite Palette von Tools, die Ihnen zur Verfügung stehen, wenn Sie einen visuelleren Ansatz bevorzugen; siehe den Abschnitt Fehlerbehebung, in dem andere Optionen zur Handhabung von SFTP in Arch beschrieben werden. Bitte denken Sie daran, dass, wenn Sie sich entscheiden, Zertifikate aus ihrem geschützten Speicher zu verschieben, stellen Sie sicher, dass sie danach gelöscht oder gesichert werden! Geben Sie niemals Ihren privaten Schlüssel weiter!

Verbinden Sie sich mit Ihrem NAS mit Root-Rechten, wir verwenden hier sudo, da wir sonst nicht in der Lage wären, die Zertifikate aus dem sicheren Speicher zu lesen:

$ sudo sftp root@[yournasaddress.zyxel.me]

Führen Sie die folgenden Befehle aus, um die Zertifikate an ihre jeweilige Position zu kopieren. Während des Vorgangs werden wir Sicherungskopien erstellen, damit Sie die Originalzertifikate wiederherstellen können, falls etwas schief geht. Seien Sie bitte vorsichtig, Sie haben Root-Rechte und jeder Befehl wird ohne Rückfrage ausgeführt. Überprüfen Sie Tippfehler doppelt. Sie können Datei- und Verzeichnisnamen auch abschließen, indem Sie nach den ersten Buchstaben die Tabulatortaste drücken, um Tippfehler zu vermeiden. Denken Sie auch daran, dass sowohl bei NAS als auch bei Arch oder jedem anderen Linux zwischen Groß- und Kleinschreibung unterschieden wird!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Das war's! Sie können SFTP mit dem Befehl exit beenden und Ihr NAS neu starten!

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
0

Nach dem Neustart können Sie sich einloggen und die Ergebnisse überprüfen. Stellen Sie sicher, dass SSL in der Systemsteuerung > Netzwerk > TCP/IP > Webkonfigurator aktiviert ist. Sie können auf dieser Registerkarte auch die Verwendung von HTTPS erzwingen, wenn Sie dies wünschen.
secure_NAS.png

Erneuerung von Let's Encrypt-Zertifikaten für Zyxel NAS

Let's Encrypt-Zertifikate sind von Haus aus recht kurzlebig. Die Zertifikate sind ab dem Tag der Ausstellung 90 Tage lang gültig. Um Ihr Zertifikat zu erneuern, müssen Sie die Ports auf Ihrem Arch Linux erneut weiterleiten, den Befehl certbot erneut ausführen und das Zertifikat erneut auf Ihr NAS hochladen.

Fehlersuche

  • Häufige Probleme und Lösungen: Einige Benutzer hatten Probleme, bei denen der NAS nach dem Versuch, ein Zertifikat zu importieren, einen "500 Internal Server Error" anzeigte. Zu den Lösungen gehörten die Überprüfung des Zertifikatsformats und die Sicherstellung, dass alle erforderlichen Dateien korrekt im NAS-Verzeichnis abgelegt wurden. Andere schlugen vor, die Apache-Konfiguration zu überprüfen und den Webserver manuell neu zu starten, um diese Probleme zu beheben (Zyxel Community) (Zyxel Community).
  • Automatisierte Zertifikatserneuerung: Die Automatisierung der Erneuerung von Let's Encrypt-Zertifikaten war ein weiteres häufig diskutiertes Thema. Die Benutzer stellten Skripte vor, mit denen die erneuerten Zertifikate automatisch auf den NAS kopiert und die Webdienste neu gestartet werden. Dies erfordert die Einrichtung eines nichtflüchtigen Speichers für das Stammverzeichnis und die Konfiguration von SSH-Schlüsseln für eine nicht-interaktive Anmeldung (Zyxel Community).
  • Selbstsignierte Zertifikate: Bei denjenigen, die sich auf selbstsignierte Zertifikate verlassen, traten nach der Aktivierung von HTTPS Probleme beim Zugriff auf die NAS-Webschnittstelle auf. Es wird häufig empfohlen, HTTPS über SSH-Befehle vorübergehend zu deaktivieren, wenn Sie nicht auf die Weboberfläche zugreifen können, wie in einer Diskussion über die Änderung der Apache-Konfigurationsdateien beschrieben (ZyxelCommunity).
  • Installieren und Verwalten von Zertifikaten: Viele Benutzer hatten Probleme bei der Installation von SSL-Zertifikaten auf Zyxel NAS-Geräten. Ein häufiges Problem ist, dass der NAS nach dem Neustart auf sein selbstsigniertes Zertifikat zurückgreift. Um dies zu beheben, schlugen Benutzer vor, die Datei CA.cer im Verzeichnis /etc/zyxel/cert zu löschen, wodurch der NAS gezwungen wird, stattdessen die Datei default.cer zu verwenden. Dies hat Benutzern geholfen, Zertifikate von Behörden wie Let's Encrypt (Zyxel Community)erfolgreich zu implementieren.
  • Icherhalte die Meldung "challenge failed" für die Domain [mydomain]!
    Dieser Fehler bedeutet im Allgemeinen, dass Ihr Arch vom CA-Server nicht erreicht werden kann, um die Authentizität zu überprüfen. Bitte überprüfen Sie, ob Port 80 an Ihren Arch-Rechner weitergeleitet ist und ob nicht bereits ein Dienst auf Port 80 läuft (Apache?)
  • Ich habe Zertifikate importiert, aber mein NAS reagiert weder auf http noch auf https!
    Dies deutet darauf hin, dass der Webserver des NAS während des Starts ein Problem hatte; höchstwahrscheinlich haben Sie beim Hochladen der Zertifikate auf Ihren NAS etwas durcheinander gebracht. Es besteht jedoch kein Grund zur Panik, SSH/SFTP sollte weiterhin funktionieren. Falls Sie keine funktionierenden Bedingungen erreichen können, lesen Sie bitte diesen Artikel.
  • Ich habe keine Lust, Dateien mit dem Terminal zu bearbeiten, gibt es andere Vorschläge?
    Wenn es für Sie bequemer ist, können Sie den Nautilus-Dateiexplorer von Gnome verwenden, um die SFTP-Sitzung mit NAS zum Kopieren von Dateien zu starten.
    nautilus.png
    Wenn Sie Gnome nicht installiert haben (vielleicht sind Sie auf der Live-CD von Arch), gibt es einen orthodoxen Terminal-Commander mit SFTP-Unterstützung namens Midnight Commander, der sogar auf einem ziemlich einfachen Arch-Setup laufen sollte:
    # find /etc/zyxel/cert -type f -delete
    # openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
    1

Nur eine Vorwarnung: Die Zyxel NAS-Geräte haben das Ende ihres Supportzeitraums erreicht. Wir verstehen, dass dies unangenehm ist. Um Ihnen zu helfen, besuchen Sie bitte unser Forum oder erkunden Sie den NAS-Bereich in unserer Wissensdatenbank, um alle Details zu erfahren. Sie können auch eine Liste der veralteten Geräte und deren Support-Zeiträume unter dem unten stehenden Link finden.

Vielen Dank für Ihr Verständnis und Ihre Geduld!

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
1 von 5 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.