Zyxel Almacenamiento Conectado en Red NAS - Cómo importar o regenerar certificados en el almacenamiento Zyxel NAS

$ ssh root@192.168.1.33

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

# exit

Crear certificados Let's Encrypt para Zyxel NAS

Nota: Por favor, tenga en cuenta que esta es una solución temporal, y como tal, tiene un pequeño efecto secundario: cuando hace clic en la pestaña SSL en el Panel de Control, la interfaz web se bloquea con un error 500. Si esto ocurre, puede actualizar la página y continuar su trabajo. Dado que esta pestaña no ofrece ninguna funcionalidad necesaria al usar esta guía, es un inconveniente menor comparado con las ventajas de usar el certificado de Let's Encrypt.

Asegúrese de que su Arch esté actualizado:

$ sudo pacman -Syu

• Instale certbot, un cliente ACME que automatizará el proceso de creación de certificados:

$ sudo pacman -S certbot

• Asegúrese de que su Arch pueda escuchar en el puerto 80, si es necesario, reenvíe el puerto 80 a su máquina. Cree un certificado usando el siguiente comando:

$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Nota: si encuentra un error "challenge failed for domain", los servidores de Let's Encrypt no pueden acceder a su máquina. Por favor, verifique que el reenvío de puertos esté habilitado y asegúrese de que ningún servicio esté ejecutándose actualmente en el puerto 80 de su Arch. Puede detener temporalmente el servicio en cuestión usando el comando:

$ sudo systemctl stop httpd

• Después de este paso, puede volver a activarlo

$ sudo systemctl start httpd

• Ahora puede reenviar su puerto 80 a su NAS, y también el puerto 443, si aún no lo ha configurado.

Subir certificados Let's Encrypt para Zyxel NAS

Su certificado está listo para ser subido a su NAS, en este ejemplo usaremos un cliente SFTP basado en shell. Sin embargo, hay una amplia variedad de herramientas disponibles para lograr esto si prefiere un enfoque más visual, consulte la sección de Solución de Problemas, donde se describen otras opciones para manejar SFTP en Arch. Por favor, tenga en cuenta que si decide mover los certificados desde su almacenamiento protegido, ¡asegúrese de que sean eliminados o asegurados posteriormente! ¡Nunca comparta su clave privada!

Conéctese a su NAS con permisos de root, aquí usaremos sudo, de lo contrario no podríamos leer los certificados del almacenamiento seguro:

$ sudo sftp root@[yournasaddress.zyxel.me]

Ejecute los siguientes comandos para copiar los certificados a su posición respectiva. Haremos copias de seguridad durante el proceso para que pueda restaurar los certificados originales en caso de que algo salga mal. Por favor, tenga cuidado, está operando con permisos root y cualquier comando se procesará sin preguntar. Verifique dos veces los errores tipográficos. También puede completar nombres de archivos y directorios presionando Tab después de las primeras letras, esto le ayudará a evitar errores tipográficos. Tenga en cuenta que los nombres distinguen entre mayúsculas y minúsculas tanto en NAS como en Arch, o cualquier otro Linux!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

¡Eso es todo! Puede salir de SFTP usando el comando exit y reiniciar su NAS.

sftp> exit

Después del reinicio, puede iniciar sesión y verificar los resultados. Asegúrese de que SSL esté habilitado en Panel de Control > Red > TCP/IP > Configurador Web. También puede forzar el uso de HTTPS en esta pestaña si lo desea.

Renovación de certificados Let's Encrypt para Zyxel NAS

Por diseño, los certificados de Let's Encrypt tienen una vida útil bastante corta. Los certificados serán válidos durante 90 días a partir del día de emisión. Para renovar su certificado, debe reenviar los puertos en su Arch Linux nuevamente, volver a ejecutar el comando certbot y subirlo de nuevo a su NAS.

Solución de Problemas

• Problemas comunes y soluciones: Algunos usuarios enfrentaron problemas donde el NAS mostraba un "Error Interno del Servidor 500" después de intentar importar un certificado. Las soluciones incluyeron verificar el formato del certificado y asegurarse de que todos los archivos necesarios estuvieran correctamente ubicados en el directorio del NAS. Otros sugirieron revisar la configuración de Apache y reiniciar manualmente el servidor web para resolver estos problemas​ (Comunidad Zyxel)​​ (Comunidad Zyxel)​.
• Automatización de la renovación de certificados: La automatización de la renovación de certificados Let's Encrypt fue otro tema frecuentemente discutido. Los usuarios compartieron scripts que copian automáticamente los certificados renovados al NAS y reinician los servicios web. Esto implica configurar almacenamiento no volátil para el directorio root y configurar claves SSH para inicio de sesión no interactivo​ (Comunidad Zyxel)​.
• Certificados Autofirmados: Para quienes dependen de certificados autofirmados, algunos encontraron problemas al acceder a la interfaz web del NAS después de habilitar HTTPS. A menudo se recomienda deshabilitar temporalmente HTTPS mediante comandos SSH si no puede acceder a la interfaz web, como se detalla en una discusión sobre la modificación de los archivos de configuración de Apache​ (Comunidad Zyxel)​.
• Instalación y gestión de certificados: Muchos usuarios experimentaron problemas al instalar certificados SSL en dispositivos Zyxel NAS. Un problema común es que el NAS vuelve a su certificado autofirmado después de reiniciar. Para solucionarlo, los usuarios sugirieron eliminar el archivo CA.cer en el directorio /etc/zyxel/cert, lo que obliga al NAS a usar el archivo default.cer en su lugar. Esto ha ayudado a los usuarios a implementar con éxito certificados de autoridades como Let's Encrypt​ (Comunidad Zyxel)​​ (Comunidad Zyxel)​
• ¡Estoy recibiendo "challenge failed" para el dominio [mydomain]!
  Este error generalmente significa que su Arch no puede ser alcanzado por el servidor de la CA para verificar la autenticidad. Por favor, verifique si el puerto 80 está reenviado a su máquina Arch y que ningún servicio esté ejecutándose ya en el puerto 80 (¿apache?).
• ¡He importado certificados, ahora mi NAS no responde ni en http ni en https!
  Esto indica que el servidor web del NAS encontró un problema durante el inicio, lo más probable es que haya mezclado cosas al subir los certificados a su NAS. Sin embargo, no hay necesidad de pánico, SSH/SFTP debería seguir funcionando.

• No me gusta mucho usar la Terminal para manejar archivos, ¿alguna otra sugerencia?
  Si le resulta más cómodo, puede usar el explorador de archivos Nautilus de Gnome para ejecutar la sesión SFTP con el NAS para copiar archivos.
  
  Si no tiene Gnome instalado (quizás esté usando el Live CD de Arch), existe un administrador ortodoxo de Terminal con soporte SFTP llamado Midnight Commander que debería funcionar incluso en configuraciones básicas de Arch, para instalar y ejecutar como root, escriba:

  $ sudo pacman -S mc
  $ sudo mc

Solo una advertencia: Los dispositivos Zyxel NAS han llegado al final de su periodo de soporte. Entendemos que esto puede ser inconveniente, así que para ayudarle, por favor visite nuestro foro o explore la sección NAS en nuestra base de conocimiento para todos los detalles. También puede encontrar una lista de dispositivos obsoletos y sus cronogramas de soporte en el enlace a continuación.

• Fin de Vida (EOL/EoL) / Fin de Soporte (EOS/EoS)
• Foro Comunitario Almacenamiento en la Nube Personal

¡Muchas gracias por su comprensión y paciencia!