Zyxel Network-Attached Storage NAS – Kuinka tuoda tai luoda sertifikaatti uudelleen Zyxel NAS -tallennuslaitteessa

$ ssh root@192.168.1.33

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

# exit

Let's Encrypt -sertifikaattien luominen Zyxel NAS:lle

Huomautus: Huomioithan, että tämä on kiertotapa, ja sillä on yksi pieni sivuvaikutus: kun napsautat ohjauspaneelin SSL-välilehteä, WebUI lukkiutuu virheeseen 500. Jos näin tapahtuu, voit päivittää sivun ja jatkaa työskentelyäsi. Koska tämä välilehti ei tarjoa toiminnallisuutta, jota tarvitaan tämän oppaan käyttämisessä, tämä on melko pieni haitta verrattuna Let's Encrypt -sertifikaatin käyttämisen etuihin. 

Varmista, että Arch-järjestelmäsi on ajan tasalla:

$ sudo pacman -Syu

• Asenna certbot, ACME-asiakasohjelma, joka automatisoi sertifikaattien luontiprosessin:

$ sudo pacman -S certbot

• Varmista, että Arch kuuntelee porttia 80; tarvittaessa ohjaa portti 80 koneellesi. Luo sertifikaatti seuraavalla komennolla:

$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Huomautus: jos saat "challenge failed for domain" -virheen, Let's Encryptin palvelimet eivät pääse koneellesi. Tarkista, että portin edelleenlähetys on päällä ja ettei portissa 80 ole käynnissä palvelua Archissasi. Voit tarvittaessa pysäyttää palvelun väliaikaisesti komennolla:

$ sudo systemctl stop httpd

• Tämän jälkeen voit halutessasi käynnistää sen uudelleen

$ sudo systemctl start httpd

• Voit nyt ohjata portin 80 NAS-laitteellesi, ja myös portin 443, jos et ole sitä vielä määrittänyt.

Let's Encrypt -sertifikaattien lataaminen Zyxel NAS:lle

Sertifikaattisi on valmis ladattavaksi NAS-laitteellesi; tässä esimerkissä käytämme komentorivipohjaista SFTP-asiakasta. Saatavilla on kuitenkin laaja valikoima työkaluja, jos haluat käyttää visuaalisempaa lähestymistapaa, katso Vianmääritysluku, jossa kuvataan muita tapoja käsitellä SFTP:tä Archissa. Huomioithan, että jos päätät siirtää sertifikaatit suojatusta tallennustilasta, muista poistaa tai suojata ne sen jälkeen! Älä koskaan jaa yksityistä avaintasi!

Yhdistä NAS:iin root-oikeuksilla; käytämme tässä sudoa, muuten emme pysty lukemaan sertifikaatteja suojatusta tallennustilasta:

$ sudo sftp root@[yournasaddress.zyxel.me]

Suorita seuraavat komennot kopioidaksesi sertifikaatit oikeisiin paikkoihin. Teemme varmuuskopiot prosessin aikana, jotta voit palauttaa alkuperäiset sertifikaatit, jos jokin menee pieleen. Ole varovainen, koska toimit root-oikeuksilla ja kaikki komennot suoritetaan ilman varmistuksia. Tarkista kirjoitusvirheet huolellisesti. Voit myös täydentää tiedostojen ja kansioiden nimiä painamalla Tab-näppäintä muutaman kirjaimen jälkeen, mikä auttaa välttämään kirjoitusvirheitä. Muista myös, että nimet ovat kirjainkoolla tarkkoja sekä NAS:ssa että Archissa tai missä tahansa muussa Linuxissa!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Siinä se! Voit poistua SFTP:stä komennolla exit ja käynnistää NAS:n uudelleen!

sftp> exit

Käynnistyksen jälkeen voit kirjautua sisään ja tarkistaa tulokset. Varmista, että SSL on käytössä Ohjauspaneelissa > Verkko > TCP/IP > Web Configurator. Voit myös halutessasi pakottaa HTTPS:n käytön tällä välilehdellä.

Let's Encrypt -sertifikaattien uusiminen Zyxel NAS:lle

Let's Encrypt -sertifikaatit ovat suunnittelultaan melko lyhytikäisiä. Sertifikaatit ovat voimassa 90 päivää myöntämispäivästä. Uusimista varten sinun tulee ohjata portit Arch Linuxissasi uudelleen, suorittaa certbot-komento uudelleen ja ladata sertifikaatti NAS:lle uudelleen.

Vianmääritys

• Yleiset ongelmat ja ratkaisut: Jotkut käyttäjät ovat kohdanneet tilanteita, joissa NAS näyttää "500 Internal Server Error" -virheen sertifikaatin tuonnin jälkeen. Ratkaisuja ovat olleet sertifikaatin muodon tarkistaminen ja kaikkien tarvittavien tiedostojen oikea sijoittaminen NAS-hakemistoon. Toiset ovat ehdottaneet Apache-konfiguraation tarkistamista ja web-palvelimen manuaalista uudelleenkäynnistystä näiden ongelmien korjaamiseksi​ (Zyxel Community)​​ (Zyxel Community)​.
• Sertifikaattien uusimisen automatisointi: Sertifikaattien uusimisen automatisointi oli myös usein keskusteltu aihe. Käyttäjät jakoivat skriptejä, jotka automaattisesti kopioivat uusitut sertifikaatit NAS:lle ja käynnistävät web-palvelut uudelleen. Tämä sisältää ei-haihtuvan tallennustilan asettamisen root-hakemistolle ja SSH-avainten konfiguroinnin ei-interaktiivista kirjautumista varten​ (Zyxel Community)​.
• Itseallekirjoitetut sertifikaatit: Itseallekirjoitetuista sertifikaateista riippuville jotkut kohtasivat ongelmia NAS:n web-käyttöliittymään pääsyssä HTTPS:n käyttöönoton jälkeen. Usein suositellaan HTTPS:n väliaikaista poistamista käytöstä SSH-komentojen avulla, jos web-käyttöliittymään ei pääse, kuten keskustelussa Apache-konfiguraatiotiedostojen muokkaamisesta on kuvattu​ (Zyxel Community)​.
• Sertifikaattien asentaminen ja hallinta: Monet käyttäjät ovat kokeneet ongelmia SSL-sertifikaattien asentamisessa Zyxel NAS -laitteisiin. Yleinen ongelma on, että NAS palautuu itseallekirjoitettuun sertifikaattiinsa uudelleenkäynnistyksen jälkeen. Ratkaisuna käyttäjät ovat ehdottaneet CA.cer-tiedoston poistamista hakemistosta /etc/zyxel/cert, mikä pakottaa NAS:n käyttämään default.cer-tiedostoa sen sijaan. Tämä on auttanut käyttäjiä onnistuneesti ottamaan käyttöön viranomaisten, kuten Let's Encryptin, sertifikaatit​ (Zyxel Community)​​ (Zyxel Community)​
• Saan "challenge failed" -virheen domainilleni [mydomain]!
  Tämä virhe tarkoittaa yleensä, että CA:n palvelin ei pääse Arch-koneellesi vahvistaakseen aitoutta. Tarkista, että portti 80 on ohjattu Arch-koneellesi ja ettei portissa 80 ole jo käynnissä palvelua (esim. Apache).
• Olen tuonut sertifikaatit, mutta NAS ei vastaa http- tai https-yhteyksiin!
  Tämä tarkoittaa, että NAS:n web-palvelimella on käynnistyksen aikana ongelma, todennäköisesti olet sekoittanut tiedostoja sertifikaatteja ladatessasi. Ei kuitenkaan hätää, SSH/SFTP-yhteys pitäisi silti toimia.

• En oikein halua käyttää komentoriviä tiedostojen käsittelyyn, onko muita vaihtoehtoja?
  Jos haluat mukavamman tavan, voit käyttää Gnome Nautilus -tiedostonhallintaa ajamaan SFTP-istuntoa NAS:lle tiedostojen kopiointiin.
  
  Jos sinulla ei ole Gnomea asennettuna (ehkä käytät Archin Live CD:tä), on olemassa komentoriviohjelma Midnight Commander, jossa on SFTP-tuki ja joka toimii myös hyvin kevyessä Arch-asennuksessa. Asentaaksesi ja käynnistääksesi rootina, kirjoita:

  $ sudo pacman -S mc
  $ sudo mc

Vain tiedoksi: Zyxel NAS -laitteiden tuki on päättynyt. Ymmärrämme, että tämä voi olla hankalaa, joten auttaaksemme sinua, vieraile foorumillamme tai tutustu NAS-osioon tietopankissamme saadaksesi lisätietoja. Löydät myös luettelon vanhentuneista laitteista ja niiden tukiajoista alla olevasta linkistä.

• End of Life (EOL/EoL) / End of Support (EOS/EoS)
• Community Forum Personal Cloud Storage

Kiitos paljon ymmärryksestäsi ja kärsivällisyydestäsi!