Zyxel Network-Attached Storage [NAS] - Comment importer ou régénérer un certificat sur un stockage Zyxel NAS ?

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Cet article fournit un tutoriel rapide sur la création de nouveaux certificats auto-signés sur un NAS pour résoudre les erreurs liées à SSL et un guide sur la génération et l'importation de certificats Let's Encrypt globalement fiables dans Arch Linux pour éviter les erreurs "Connection not secure", assurant un accès WebGUI transparent et sécurisé.
Avis de fin de vie du produit : Nous avons le regret de vous informer que le produit "Zyxel NAS Devices" a atteint la fin de sa durée de vie utile. Par conséquent, l'assistance technique pour cet appareil peut être limitée. Veuillez noter que toute manipulation ou utilisation d'un appareil qui est déjà en fin de vie est entièrement à vos risques et périls. Vous trouverez une liste des appareils obsolètes, avec leurs dates de retrait et de fin d'assistance, sur le lien ci-dessous. Cette page fournit également la dernière version mise à jour de votre appareil : Fin de vie

Générer des certificats auto-signés originaux sur les NAS Zyxel

Ouvrez une invite de commande. Pour vous connecter, utilisez la commande suivante avec l'adresse de votre NAS et approuvez la connexion si vous y êtes invité.

$ ssh root@192.168.1.33

Exécutez les commandes suivantes pour restaurer le référentiel de certificats par défaut (omettez la première ligne pour générer de nouveaux certificats). Vous serez invité à saisir des informations sur le certificat. Les valeurs par défaut sont suffisantes, il suffit donc d'appuyer sur Entrée jusqu'à ce que vous atteigniez à nouveau l'invite de commande.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

C'est tout ! N'hésitez pas à quitter l'invite de commande. Il se peut que vous deviez redémarrer le NAS pour que les changements soient pris en compte.

dyn_repppp_2

Créer des certificats Let's Encrypt pour le Zyxel NAS

Remarque : gardez à l'esprit qu'il s'agit d'une solution de contournement et qu'en tant que telle, elle a un effet secondaire mineur : lorsque vous cliquez sur l'onglet SSL dans le Panneau de configuration, l'interface WebUI se bloque avec l'erreur 500 .Dans ce cas, vous pouvez actualiser la page et poursuivre votre travail. Étant donné que cet onglet n'offre aucune fonctionnalité nécessaire à l'utilisation de ce guide, il s'agit d'un inconvénient mineur par rapport aux avantages de l'utilisation du certificat Let's Encrypt.

N'oubliez pas : Exécution d'Arch Linux ou d'un autre environnement OS basé sur Linux (les commandes peuvent varier légèrement, si vous êtes plus à l'aise avec Ubuntu, par exemple, vous pourriez trouver un indice dans cet article qui décrit une approche similaire pour les USG, étant donné qu'Ubuntu et Raspbian sont tous deux basés sur Debian). L'installation d'un environnement Linux n'entre pas dans le cadre de cet article, veuillez vous référer au guide d'installation de la distribution de votre choix. Avec Arch, cependant, vous devriez pouvoir vous contenter de démarrer le Live CD et de démarrer directement à partir du ramdisk.

Assurez-vous que votre Arch est à jour :

$ sudo pacman -Syu
  • Installez certbot, un client ACME qui automatisera le processus de création de certificats :
dyn_repppp_4
  • Assurez-vous que votre Arch peut écouter sur le port 80, si nécessaire, redirigez le port 80 vers votre machine. Créez un certificat en utilisant la commande suivante :
dyn_repppp_5

Note : si vous rencontrez une erreur "challenge failed for domain", c'est que les serveurs de Let's Encrypt ne peuvent pas atteindre votre machine. Veuillez vérifier que la redirection de port est activée et qu'aucun service n'est en cours d'exécution sur le port 80 de votre Arch. Vous pouvez arrêter temporairement le service en question en utilisant la commande :

$ sudo systemctl stop httpd
  • Après cette étape, n'hésitez pas à le réactiver
dyn_repppp_7
  • Vous pouvez maintenant rediriger votre port 80 vers votre NAS, ainsi que le port 443, si vous ne l'avez pas déjà paramétré.

Télécharger les certificats Let's Encrypt pour le Zyxel NAS

Votre certificat est prêt à être téléchargé sur votre NAS. Dans cet exemple, nous utiliserons un client SFTP basé sur un shell. Il existe cependant une large gamme d'outils disponibles pour réaliser ceci si vous préférez une approche plus visuelle, voir la section Dépannage, où sont décrites d'autres options pour gérer SFTP dans Arch. Gardez à l'esprit que si vous décidez de déplacer des certificats de leur espace de stockage protégé, assurez-vous qu'ils soient supprimés ou sécurisés par la suite ! Ne partagez jamais votre clé privée !

Connectez-vous à votre NAS avec les permissions root, nous utiliserons sudo ici, sinon, nous ne pourrions pas lire les certificats depuis le stockage sécurisé :

$ sudo sftp root@[yournasaddress.zyxel.me]

Exécutez les commandes suivantes pour copier les certificats à leur emplacement respectif. Nous ferons des sauvegardes pendant le processus afin que vous puissiez restaurer les certificats originaux en cas de problème. Soyez prudent, vous avez les permissions de l'administrateur et toute commande sera exécutée sans que vous ayez à le demander. Vérifiez deux fois les fautes de frappe. Vous pouvez également terminer les noms de fichiers et de répertoires en appuyant sur la touche Tab après les premières lettres, ce qui vous aidera à éviter les fautes de frappe. Gardez également à l'esprit que les noms sont sensibles à la casse à la fois sur NAS et Arch, ou tout autre Linux!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Voilà, c'est fait ! Vous pouvez quitter le SFTP en utilisant la commande exit et redémarrer votre NAS !

dyn_repppp_10

Après le redémarrage, vous pouvez vous connecter et vérifier les résultats. Assurez-vous que SSL est activé dans Panneau de configuration > Réseau > TCP/IP > Configurateur Web. Vous pouvez également imposer l'utilisation de HTTPS sur cet onglet si vous le souhaitez.
secure_NAS.png

Renouvellement des certificats Let's Encrypt pour Zyxel NAS

De par leur conception, les certificats Let's Encrypt ont une durée de vie assez courte. Les certificats sont valides pendant 90 jours à partir de la date d'émission. Pour renouveler votre certificat, vous devez rediriger les ports sur votre Arch Linux, réexécuter la commande certbot et la télécharger à nouveau sur votre NAS.

Résolution des problèmes

  • Problèmes courants et solutions: Certains utilisateurs ont rencontré des problèmes lorsque le NAS affichait un message "500 Internal Server Error" après avoir tenté d'importer un certificat. Les solutions consistaient à vérifier le format du certificat et à s'assurer que tous les fichiers nécessaires étaient correctement placés dans le répertoire du NAS. D'autres ont suggéré de vérifier la configuration d'Apache et de redémarrer manuellement le serveur web pour résoudre ces problèmes (Communauté Zyxel) (Communauté Zyxel).
  • Automatisation du renouvellement des certificats: L'automatisation du renouvellement des certificats Let's Encrypt est un autre sujet fréquemment abordé. Les utilisateurs ont partagé des scripts qui copient automatiquement les certificats renouvelés sur le NAS et redémarrent les services web. Cela implique la mise en place d'un stockage non volatile pour le répertoire racine et la configuration de clés SSH pour une connexion non interactive (Communauté Zyxel).
  • Certificats auto-signés: Pour ceux qui s'appuient sur des certificats auto-signés, certains ont rencontré des problèmes pour accéder à l'interface web du NAS après avoir activé HTTPS. Il est souvent recommandé de désactiver temporairement le HTTPS par le biais de commandes SSH si vous ne pouvez pas accéder à l'interface web, comme indiqué dans une discussion sur la modification des fichiers de configuration Apache (Communauté Zyxel).
  • Installation et gestion des certificats : De nombreux utilisateurs ont rencontré des problèmes lors de l'installation de certificats SSL sur les périphériques Zyxel NAS. Un problème courant est que le NAS revient à son certificat auto-signé après le redémarrage. Pour résoudre ce problème, les utilisateurs ont suggéré de supprimer le fichier CA.cer dans le répertoire /etc/zyxel/cert, ce qui oblige le NAS à utiliser le fichier default.cer à la place. Cela a aidé les utilisateurs à mettre en œuvre avec succès des certificats d'autorités telles que Let's Encrypt (Communauté Zyxel) (Communauté Zyxel)
  • Je reçois "challenge failed" pour le domaine [mydomain] !
    Cette erreur signifie généralement que votre Arch ne peut pas être atteint par le serveur de CA pour vérifier l'authenticité. Veuillez vérifier que le port 80 est bien redirigé vers votre machine Arch et qu'aucun service ne tourne déjà sur le port 80 (apache ?).
  • J'ai importé des certificats, mais mon NAS ne répond ni en http ni en https !
    Cela indique que le serveur web du NAS a rencontré un problème lors du démarrage, il est probable que vous ayez mélangé les choses lorsque vous avez téléchargé les certificats sur votre NAS. Cependant, pas besoin de paniquer, SSH/SFTP devrait toujours fonctionner. Au cas où vous ne parviendriez pas à obtenir des conditions de fonctionnement, veuillez consulter cet article.
  • Je n'ai pas vraiment envie d'utiliser Terminal pour manipuler des fichiers, d'autres suggestions ?
    Si c'est plus confortable pour vous, vous pouvez utiliser l'explorateur de fichiers Nautilus de Gnome pour lancer la session SFTP avec le NAS afin de copier les fichiers.
    nautilus.png
    Si vous n'avez pas installé Gnome (peut-être êtes-vous sur le Live CD d'Arch), il y a le Terminal Commander orthodoxe avec le support SFTP appelé Midnight Commander qui devrait fonctionner même sur une configuration d'Arch assez dépouillée, pour l'installer et le lancer en tant que root, tapez :
    # find /etc/zyxel/cert -type f -delete
    # openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
    1

Juste une info : Les périphériques NAS Zyxel ont atteint la fin de leur période de support. Nous comprenons que cela puisse être gênant, donc pour vous aider, veuillez visiter notre forum ou explorer la section NAS dans notre base de connaissances pour tous les détails. Vous pouvez également trouver une liste des périphériques périmés et de leurs délais de prise en charge sur le lien ci-dessous.

Merci beaucoup pour votre compréhension et votre patience !

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 1 sur 5
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.