Créer des certificats Let's Encrypt pour Zyxel NAS
Note : Veuillez garder à l'esprit qu'il s'agit d'une solution de contournement et qu'elle présente un léger effet secondaire : lorsque vous cliquez sur l'onglet SSL dans le Panneau de configuration, l'interface Web se bloque avec une erreur 500. Si cela se produit, vous pouvez actualiser la page et poursuivre votre travail. Étant donné que cet onglet n'offre aucune fonctionnalité nécessaire lors de l'utilisation de ce guide, il s'agit d'un inconvénient mineur comparé aux avantages de l'utilisation du certificat Let's Encrypt.
Assurez-vous que votre Arch est à jour :
$ sudo pacman -Syu- Installez certbot, un client ACME qui automatisera le processus de création de certificats :
$ sudo pacman -S certbot- Assurez-vous que votre Arch peut écouter sur le port 80, si nécessaire, redirigez le port 80 vers votre machine. Créez un certificat en utilisant la commande suivante :
$ sudo certbot certonly --standalone --preferred-challenges http -d [votreadresseNAS.zyxel.me]Note : si vous rencontrez une erreur « challenge failed for domain », les serveurs Let's Encrypt ne peuvent pas atteindre votre machine. Veuillez vérifier que le transfert de port est activé et assurez-vous qu'aucun service ne tourne actuellement sur le port 80 de votre Arch. Vous pouvez temporairement arrêter le service concerné avec la commande :
$ sudo systemctl stop httpd- Après cette étape, n'hésitez pas à le réactiver
$ sudo systemctl start httpd- Vous pouvez maintenant rediriger votre port 80 vers votre NAS, ainsi que le port 443, si ce n'est pas déjà fait.
Télécharger les certificats Let's Encrypt pour Zyxel NAS
Votre certificat est prêt à être téléchargé sur votre NAS, dans cet exemple nous utiliserons un client SFTP en ligne de commande. Cependant, il existe une large gamme d'outils disponibles si vous préférez une approche plus visuelle, consultez la section Dépannage où sont décrites d'autres options pour gérer SFTP sous Arch. Veuillez garder à l'esprit que si vous décidez de déplacer les certificats depuis leur stockage protégé, assurez-vous qu'ils soient supprimés ou sécurisés par la suite ! Ne partagez jamais votre clé privée !
Connectez-vous à votre NAS avec les permissions root, nous utiliserons sudo ici, sinon nous ne pourrions pas lire les certificats depuis le stockage sécurisé :
$ sudo sftp root@[votreadresseNAS.zyxel.me]Exécutez les commandes suivantes pour copier les certificats à leur emplacement respectif. Nous ferons des sauvegardes durant le processus afin que vous puissiez restaurer les certificats originaux en cas de problème. Veuillez faire attention, vous êtes en mode root et toute commande sera exécutée sans demande de confirmation. Vérifiez bien les fautes de frappe. Vous pouvez aussi compléter les noms de fichiers et dossiers en appuyant sur Tab après les premières lettres, cela vous aidera à éviter les erreurs. Gardez aussi à l'esprit que les noms sont sensibles à la casse sur le NAS comme sur Arch ou tout autre Linux !
sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[votreadresseNAS.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[votreadresseNAS.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cerC'est tout ! Vous pouvez quitter le SFTP avec la commande exit et redémarrer votre NAS !
sftp> exitAprès le redémarrage, vous pouvez vous connecter et vérifier les résultats. Assurez-vous que SSL est activé dans Panneau de configuration > Réseau > TCP/IP > Web Configurator. Vous pouvez également forcer l'utilisation de HTTPS dans cet onglet si vous le souhaitez.
Renouvellement des certificats Let's Encrypt pour Zyxel NAS
Par conception, les certificats Let's Encrypt ont une durée de vie assez courte. Les certificats sont valides pendant 90 jours à partir de la date d'émission. Pour renouveler votre certificat, vous devez à nouveau rediriger les ports sur votre Arch Linux, relancer la commande certbot et le télécharger à nouveau sur votre NAS.
Dépannage
- Problèmes courants et solutions : Certains utilisateurs ont rencontré des problèmes où le NAS affichait une « erreur interne du serveur 500 » après avoir tenté d'importer un certificat. Les solutions incluaient la vérification du format du certificat et la garantie que tous les fichiers nécessaires étaient correctement placés dans le répertoire du NAS. D'autres suggéraient de vérifier la configuration d'Apache et de redémarrer manuellement le serveur web pour résoudre ces problèmes (Communauté Zyxel) (Communauté Zyxel).
- Automatisation du renouvellement des certificats : L'automatisation du renouvellement des certificats Let's Encrypt a été un autre sujet fréquemment discuté. Les utilisateurs ont partagé des scripts qui copient automatiquement les certificats renouvelés vers le NAS et redémarrent les services web. Cela implique la mise en place d'un stockage non volatile pour le répertoire root et la configuration de clés SSH pour une connexion non interactive (Communauté Zyxel).
- Certificats auto-signés : Pour ceux qui dépendent de certificats auto-signés, certains ont rencontré des problèmes d'accès à l'interface web du NAS après activation de HTTPS. Il est souvent recommandé de désactiver temporairement HTTPS via des commandes SSH si vous ne pouvez pas accéder à l'interface web, comme détaillé dans une discussion sur la modification des fichiers de configuration Apache (Communauté Zyxel).
-
Installation et gestion des certificats : De nombreux utilisateurs ont rencontré des problèmes lors de l'installation de certificats SSL sur les appareils Zyxel NAS. Un problème fréquent est que le NAS revient à son certificat auto-signé après un redémarrage. Pour résoudre ce problème, les utilisateurs ont suggéré de supprimer le fichier
CA.cerdans le répertoire/etc/zyxel/cert, ce qui force le NAS à utiliser le fichierdefault.cerà la place. Cela a aidé les utilisateurs à mettre en œuvre avec succès des certificats d'autorités telles que Let's Encrypt (Communauté Zyxel) (Communauté Zyxel) -
J'obtiens « challenge failed » pour le domaine [mondomaine] !
Cette erreur signifie généralement que votre Arch n'est pas accessible par le serveur de l'autorité de certification pour vérifier l'authenticité. Veuillez vérifier que le port 80 est bien redirigé vers votre machine Arch et qu'aucun service ne tourne déjà sur le port 80 (apache ?) -
J'ai importé les certificats, maintenant mon NAS ne répond plus ni en http ni en https !
Cela indique que le serveur web du NAS a rencontré un problème au démarrage, très probablement vous avez mélangé les fichiers lors de l'upload des certificats sur votre NAS. Cependant, pas de panique, SSH/SFTP devrait toujours fonctionner. -
Je n'ai pas vraiment envie d'utiliser le Terminal pour gérer les fichiers, avez-vous d'autres suggestions ?
Si vous préférez une méthode plus confortable, vous pouvez utiliser l'explorateur de fichiers Nautilus de Gnome pour lancer la session SFTP avec le NAS afin de copier les fichiers.
Si vous n'avez pas Gnome installé (peut-être êtes-vous sur le Live CD d'Arch), il existe un gestionnaire orthodoxe en Terminal avec support SFTP appelé Midnight Commander qui devrait fonctionner même sur une installation Arch très basique. Pour l'installer et l'exécuter en root, tapez :$ sudo pacman -S mc $ sudo mc
Juste pour vous prévenir : Les appareils Zyxel NAS ont atteint la fin de leur période de support. Nous comprenons que cela puisse être gênant, c’est pourquoi, pour vous aider, veuillez visiter notre forum ou explorer la section NAS dans notre base de connaissances pour tous les détails. Vous pouvez également trouver une liste des appareils obsolètes et leurs calendriers de support via le lien ci-dessous.
Merci beaucoup pour votre compréhension et votre patience !
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.