Zyxel Hálózati Tároló NAS - Hogyan importáljunk vagy regeneráljunk tanúsítványt a Zyxel NAS tárolón

$ ssh root@192.168.1.33

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

# exit

Let's Encrypt tanúsítványok létrehozása Zyxel NAS-hoz

Megjegyzés: Kérjük, vegye figyelembe, hogy ez egy megkerülő megoldás, és mint ilyen, van egy kisebb mellékhatása: amikor a Vezérlőpulton az SSL fülre kattint, a WebUI 500-as hibával zárolódik. Ha ez megtörténik, frissítse az oldalt és folytathatja a munkát. Mivel ez a fül nem kínál olyan funkciót, amelyre szükség lenne a jelen útmutató használatakor, ez elhanyagolható hátrány a Let's Encrypt tanúsítvány használatának előnyeihez képest. 

Győződjön meg róla, hogy Arch rendszere naprakész:

$ sudo pacman -Syu

• Telepítse a certbotot, egy ACME klienst, amely automatizálja a tanúsítvány készítés folyamatát:

$ sudo pacman -S certbot

• Győződjön meg arról, hogy az Arch képes hallgatni a 80-as porton, ha szükséges, irányítsa át a 80-as portot a gépére. Tanúsítvány létrehozásához használja az alábbi parancsot:

$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Megjegyzés: ha „challenge failed for domain” hibát tapasztal, az azt jelenti, hogy a Let's Encrypt szerverei nem tudják elérni a gépét. Kérjük, ellenőrizze, hogy a port továbbítás engedélyezve van-e, és győződjön meg arról, hogy nincs más szolgáltatás futtatva az Arch 80-as portján. Az érintett szolgáltatást ideiglenesen leállíthatja a következő paranccsal:

$ sudo systemctl stop httpd

• E lépés után nyugodtan engedélyezheti újra

$ sudo systemctl start httpd

• Most már továbbíthatja a 80-as portot a NAS-hoz, és ha még nem tette meg, a 443-as portot is.

Let's Encrypt tanúsítványok feltöltése Zyxel NAS-ra

A tanúsítványa készen áll a NAS-ra való feltöltésre, ebben a példában shell-alapú SFTP klienst használunk. Azonban számos eszköz áll rendelkezésre, ha vizuálisabb megoldást preferál, lásd a Hibaelhárítás szakaszt, ahol más SFTP kezelési lehetőségek is le vannak írva Arch alatt. Kérjük, vegye figyelembe, hogy ha a tanúsítványokat a védett tárolóból áthelyezi, biztosítsa, hogy azok később törlésre vagy biztonságba helyezésre kerüljenek! Soha ne ossza meg privát kulcsát!

Csatlakozzon a NAS-hoz root jogosultsággal, itt sudo-t használunk, különben nem tudnánk olvasni a tanúsítványokat a biztonságos tárolóból:

$ sudo sftp root@[yournasaddress.zyxel.me]

Futtassa az alábbi parancsokat a tanúsítványok megfelelő helyre másolásához. A folyamat során biztonsági mentéseket készítünk, hogy hiba esetén visszaállíthassa az eredeti tanúsítványokat. Kérjük, legyen óvatos, root jogosultság alatt fut, és minden parancs végrehajtásra kerül kérdezés nélkül. Ellenőrizze kétszer a gépelési hibákat. A fájl- és könyvtárnevek befejezéséhez használhatja a Tab billentyűt az első néhány betű megadása után, ez segít elkerülni a hibákat. Ne feledje, hogy a nevek kis- és nagybetű érzékenyek mind a NAS-on, mind az Arch-on vagy bármely más Linux rendszeren!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Ennyi az egész! Kiléphet az SFTP-ből az exit parancs segítségével, majd indítsa újra a NAS-t!

sftp> exit

Újraindítás után bejelentkezhet és ellenőrizheti az eredményeket. Győződjön meg róla, hogy az SSL engedélyezve van a Vezérlőpulton > Hálózat > TCP/IP > Web Konfigurátor menüben. Ezen a fülön szükség esetén kikényszerítheti a HTTPS használatát is.

Let's Encrypt tanúsítványok megújítása Zyxel NAS-hoz

A Let's Encrypt tanúsítványok tervezésük szerint viszonylag rövid élettartamúak. A tanúsítványok 90 napig érvényesek a kibocsátás napjától számítva. A tanúsítvány megújításához ismét továbbítani kell a portokat az Arch Linux rendszerén, újra futtatni a certbot parancsot, majd újra feltölteni a NAS-ra.

Hibaelhárítás

• Gyakori problémák és megoldások: Néhány felhasználó olyan problémákkal szembesült, amikor a NAS „500 Internal Server Error” hibát mutatott tanúsítvány importálása után. A megoldások között szerepelt a tanúsítvány formátumának ellenőrzése és annak biztosítása, hogy minden szükséges fájl helyesen legyen elhelyezve a NAS könyvtárában. Mások javasolták az Apache konfiguráció ellenőrzését és a webszerver kézi újraindítását ezeknek a problémáknak a megoldására​ (Zyxel Közösség)​​ (Zyxel Közösség)​.
• Tanúsítvány megújítás automatizálása: A Let's Encrypt tanúsítványok megújításának automatizálása egy másik gyakran tárgyalt téma volt. A felhasználók megosztottak szkripteket, amelyek automatikusan átmásolják a megújított tanúsítványokat a NAS-ra és újraindítják a webszolgáltatásokat. Ez magában foglalja a nem felejtő gyökérkönyvtár beállítását és az SSH kulcsok konfigurálását a nem interaktív bejelentkezéshez​ (Zyxel Közösség)​.
• Önaláírt tanúsítványok: Azok számára, akik önaláírt tanúsítványokra támaszkodnak, néhányan problémákat tapasztaltak a NAS webes felületének elérésével HTTPS engedélyezése után. Gyakran javasolták a HTTPS ideiglenes letiltását SSH parancsokon keresztül, ha nem lehet elérni a webes felületet, amint azt egy Apache konfigurációs fájlok módosításáról szóló vita részletezi​ (Zyxel Közösség)​.
• Tanúsítványok telepítése és kezelése: Sok felhasználó tapasztalt problémákat az SSL tanúsítványok telepítése során Zyxel NAS eszközökön. Egy gyakori probléma, hogy a NAS újraindítás után visszatér az önaláírt tanúsítványhoz. Ennek javítására a felhasználók javasolták a CA.cer fájl törlését a /etc/zyxel/cert könyvtárból, ami arra kényszeríti a NAS-t, hogy a default.cer fájlt használja helyette. Ez segített a felhasználóknak sikeresen alkalmazni a Let's Encrypt vagy más hatóságok által kiadott tanúsítványokat​ (Zyxel Közösség)​​ (Zyxel Közösség)​
• "challenge failed" hibát kapok a [mydomain] domainhez!
  Ez a hiba általában azt jelenti, hogy az Arch gépét nem éri el a CA szervere az hitelesség ellenőrzéséhez. Kérjük, ellenőrizze, hogy a 80-as port továbbítva van-e az Arch gépre, és hogy nincs-e már futó szolgáltatás a 80-as porton (például apache).
• Importáltam tanúsítványokat, de a NAS nem válaszol sem http, sem https protokollon!
  Ez azt jelzi, hogy a NAS webszervere indítás közben hibát észlelt, valószínűleg összekeverte a tanúsítványokat feltöltéskor. Nem kell pánikba esni, az SSH/SFTP kapcsolatnak még működnie kell.

• Nem igazán szeretnék terminált használni fájlkezeléshez, van más javaslat?
  Ha kényelmesebb Önnek, használhatja a Gnome Nautilus fájlkezelőt az SFTP munkamenet futtatásához a NAS-hoz fájlok másolásához.
  
  Ha nincs telepítve a Gnome (például Arch Live CD-n van), akkor használhatja a Midnight Commander nevű terminál alapú ortodox fájlkezelőt, amely támogatja az SFTP-t és még egy viszonylag minimalista Arch rendszeren is fut. Telepítéshez és futtatáshoz rootként írja be:

  $ sudo pacman -S mc
  $ sudo mc

Csak egy figyelmeztetés: A Zyxel NAS eszközök elérték támogatási időszakuk végét. Tudjuk, hogy ez kényelmetlenséget okozhat, ezért kérjük, látogasson el fórumunkra vagy böngéssze NAS szekciónkat a tudásbázisban a részletekért. Az elavult eszközök listáját és támogatási időpontjait az alábbi linken is megtalálja.

• Élettartam vége (EOL/EoL) / Támogatás vége (EOS/EoS)
• Közösségi Fórum Személyes Felhőtárhely

Köszönjük megértését és türelmét!