Zyxel Network-Attached Storage [NAS] - Cómo importar o regenerar el certificado en el almacenamiento Zyxel NAS

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si tiene dudas o discrepancias sobre la exactitud de la información de la versión traducida, consulte el artículo original aquí:Versión original

Este artículo proporciona un tutorial rápido sobre la creación de nuevos certificados autofirmados en un NAS para resolver los errores relacionados con SSL y una guía sobre la generación e importación de certificados Let's Encrypt de confianza global en Arch Linux para evitar errores de "Conexión no segura", garantizando un acceso WebGUI seguro y sin problemas.
Aviso de fin de vida útil del producto: Lamentamos informarle de que el producto "Zyxel NAS Devices" ha llegado al final de su vida útil. Como consecuencia, el soporte técnico para este dispositivo puede ser limitado. Por favor, tenga en cuenta que cualquier manipulación o uso de un dispositivo que ya ha llegado al final de su vida útil es bajo su propia responsabilidad. Puede encontrar una lista de dispositivos obsoletos, incluidas sus fechas de retirada y fin de soporte, en el siguiente enlace. En esta página también encontrará la última versión actualizada de su dispositivo: Fin de vida útil

Generación de certificados originales autofirmados en Zyxel NAS

Abra un símbolo del sistema. Para conectarse, utilice el siguiente comando con la dirección de su NAS y apruebe la conexión si se le solicita.

$ ssh root@192.168.1.33

Ejecute los siguientes comandos para restaurar el repositorio de certificados a los valores predeterminados (omita la primera línea para generar sólo nuevos certificados). Se le pedirá que introduzca información sobre el certificado. Los valores por defecto están bien, así que simplemente pulse enter hasta que llegue al símbolo del sistema de nuevo.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Eso es todo. Siéntase libre de salir del símbolo del sistema. También puede ser necesario reiniciar el NAS para que los cambios surtan efecto.

# exit

Crear certificados Let's Encrypt para Zyxel NAS

Nota: Tenga en cuenta que se trata de una solución provisional y, como tal, tiene un pequeño efecto secundario: cuando hace clic en la pestaña SSL del Panel de control, la WebUI se bloquea con el error 500. Si esto ocurre, puede actualizar la página y continuar con los cambios.Si esto ocurre, puede actualizar la página y continuar con su trabajo. Dado que esta pestaña no ofrece ninguna funcionalidad que sea necesaria al utilizar esta guía, este es un contratiempo bastante menor en comparación con las ventajas de utilizar el certificado Let's Encrypt.

Tenlo en cuenta: Ejecutar Arch Linux u otro entorno de sistema operativo basado en Linux (los comandos pueden variar ligeramente, si se siente más cómodo con Ubuntu, por ejemplo, puede obtener una pista en este artículo que describe un enfoque similar para USG, ya que tanto Ubuntu como Raspbian están basados en Debian). La instalación de un entorno Linux está fuera del alcance de este artículo, por favor consulta la guía de instalación de la distribución de tu elección. Con Arch, sin embargo, debería ser suficiente con arrancar el Live CD y comenzar directamente desde el ramdisk.

Asegúrate de que tu Arch está actualizado:

$ sudo pacman -Syu
  • Instala certbot, un cliente ACME que automatizará el proceso de creación de certificados:
dyn_repppp_4
  • Asegúrese de que su Arch puede escuchar en el puerto 80, si es necesario, reenvíe el puerto 80 a su máquina. Cree un certificado utilizando el siguiente comando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Nota: si se encuentra con un error "challenge failed for domain", los servidores de Let's Encrypt no pueden llegar a su máquina. Por favor, compruebe que el reenvío de puertos está habilitado y asegúrese de que ningún servicio se está ejecutando actualmente en el puerto 80 de su Arch. Puede detener el servicio en cuestión temporalmente usando el comando

$ sudo systemctl stop httpd
  • Después de este paso, no dude en habilitarlo de nuevo
dyn_repppp_7
  • Ahora puede redirigir el puerto 80 a su NAS, y también el puerto 443, si no lo ha configurado ya.

Cargar certificados Let's Encrypt para Zyxel NAS

Su certificado está listo para ser subido a su NAS, en este ejemplo usaremos un cliente SFTP basado en shell. Sin embargo, hay una amplia gama de herramientas disponibles para lograr esto si usted prefiere un enfoque más visual, consulte la sección Solución de problemas, donde se describen otras opciones de manejo de SFTP en Arch. Por favor, tenga en cuenta que si decide mover certificados de su almacenamiento protegido, ¡asegúrese de borrarlos o asegurarlos después! Nunca comparta su clave privada.

Conéctese a su NAS con permisos de root, utilizaremos sudo aquí, de lo contrario, no seríamos capaces de leer los certificados desde el almacenamiento seguro:

$ sudo sftp root@[yournasaddress.zyxel.me]

Ejecute los siguientes comandos para copiar los certificados a su posición respectiva. Haremos copias de seguridad durante el proceso para que puedas restaurar los certificados originales en caso de que algo vaya mal. Por favor, tenga cuidado, está ejecutando bajo permisos de root y cualquier comando será procesado sin preguntar. Compruebe dos veces los errores tipográficos. También puede terminar los nombres de archivos y directorios pulsando Tab después de las primeras letras, esto también le ayudará a evitar errores tipográficos. Ten en cuenta también que los nombres distinguen entre mayúsculas y minúsculas tanto en NAS como en Arch, ¡o en cualquier otro Linux!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Ya está. Puede salir del SFTP utilizando el comando exit y reiniciar su NAS.

dyn_repppp_10

Después de reiniciar, puede iniciar sesión y verificar los resultados. Asegúrese de que SSL está activado en Panel de control > Red > TCP/IP > Configurador web. También puede forzar el uso de HTTPS en esta pestaña si lo desea.
secure_NAS.png

Renovación de certificados Let's Encrypt para Zyxel NAS

Por su diseño, los certificados Let's Encrypt son bastante efímeros. Los certificados serán válidos durante 90 días a partir del día de su emisión. Para renovar tu certificado, necesitas reenviar los puertos en tu Arch Linux de nuevo, volver a ejecutar el comando certbot y cargarlo en tu NAS de nuevo.

Solución de problemas

  • Problemas comunes y soluciones: Algunos usuarios se enfrentaron a problemas en los que el NAS mostraba el mensaje "500 Internal Server Error" (Error interno del servidor 500) después de intentar importar un certificado. Las soluciones incluían verificar el formato del certificado y asegurarse de que todos los archivos necesarios estaban colocados correctamente en el directorio del NAS. Otros sugirieron comprobar la configuración de Apache y reiniciar manualmente el servidor web para resolver estos problemas (Comunidad Zyxel) (Comunidad Zyxel).
  • Automatización de la renovación de certificados: La automatización de la renovación de los certificados Let's Encrypt fue otro de los temas más discutidos. Los usuarios compartieron scripts que copian automáticamente los certificados renovados al NAS y reinician los servicios web. Esto implica configurar un almacenamiento no volátil para el directorio raíz y configurar claves SSH para un inicio de sesión no interactivo (Zyxel Community).
  • Certificados autofirmados: Para aquellos que confían en certificados autofirmados, algunos encontraron problemas para acceder a la interfaz web del NAS después de habilitar HTTPS. A menudo se recomienda desactivar temporalmente HTTPS a través de comandos SSH si no puede acceder a la interfaz web, como se detalla en un debate sobre la modificación de los archivos de configuración de Apache (ComunidaddeZyxel).
  • Instalación y gestión de certificados: Muchos usuarios han experimentado problemas al instalar certificados SSL en dispositivos NAS de Zyxel. Un problema común es que el NAS vuelve a su certificado autofirmado después de reiniciar. Para solucionarlo, los usuarios sugirieron eliminar el archivo CA.cer del directorio /etc/zyxel/cert, lo que obliga al NAS a utilizar el archivo default. cer en su lugar. Esto ha ayudado a los usuarios a implementar con éxito certificados de autoridades como Let's Encrypt (Comunidad Zyxel) (Comunidad Zyxel)
  • Estoyrecibiendo "challenge failed" para el dominio [mydomain]!
    Este error generalmente significa que su Arch no puede ser alcanzado por el servidor de CA para verificar la autenticidad. Por favor, compruebe si el puerto 80 está redirigido a su máquina Arch y que no hay ningún servicio ejecutándose en el puerto 80 (¿apache?).
  • He importado los certificados, ¡pero mi NAS no responde ni en http ni en https!
    Esto indica que el servidor web del NAS ha encontrado un problema durante el arranque; lo más probable es que se haya confundido al cargar los certificados en su NAS. Sin embargo, no se preocupe, SSH/SFTP debería seguir funcionando. En caso de que no consigas que funcione, consulta este artículo.
  • No me apetece usar Terminal para manejar archivos, ¿alguna otra sugerencia?
    Si le resulta más cómodo, puede utilizar el explorador de archivos Nautilus de Gnome para ejecutar la sesión SFTP con NAS para copiar archivos.
    nautilus.png
    Si no tienes Gnome instalado (tal vez estás en el Live CD de Arch), hay un comandante ortodoxo de Terminal con soporte SFTP llamado Midnight Commander que debería funcionar incluso en una configuración de Arch bastante básica, para instalar y ejecutar como root, escribe:
    # find /etc/zyxel/cert -type f -delete
    # openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
    1

Sólo un aviso: Los dispositivos NAS de Zyxel han llegado al final de su periodo de soporte. Entendemos que esto puede ser un inconveniente, así que para ayudarte, por favor visita nuestro foro o explora la sección NAS en nuestra base de conocimientos para todos los detalles. También puede encontrar una lista de dispositivos obsoletos y sus plazos de soporte en el siguiente enlace.

Muchas gracias por su comprensión y paciencia.

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 1 de 5
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.