Zyxel Network-Attached Storage [NAS] - Come importare o rigenerare il certificato sull'archiviazione NAS Zyxel

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Questo articolo fornisce una rapida esercitazione sulla creazione di nuovi certificati autofirmati su un NAS per risolvere gli errori relativi all'SSL e una guida sulla generazione e l'importazione di certificati Let's Encrypt affidabili a livello globale in Arch Linux per evitare gli errori "Connessione non sicura", garantendo un accesso continuo e sicuro alla WebGUI.
Avviso di fine vita del prodotto: Siamo spiacenti di informarvi che il prodotto "Zyxel NAS Devices" ha raggiunto la fine della sua vita utile. Di conseguenza, il supporto tecnico per questo dispositivo potrebbe essere limitato. Si ricorda che la manipolazione o l'uso di un dispositivo che ha già raggiunto la fine del ciclo di vita è interamente a rischio dell'utente. L'elenco dei dispositivi obsoleti, con le relative date di pensionamento e di fine supporto, è disponibile al seguente link. Questa pagina fornisce anche l'ultima versione aggiornata del dispositivo: Fine del ciclo di vita

Generazione di certificati autofirmati originali su Zyxel NAS

Aprire un prompt dei comandi. Per connettersi, usare il seguente comando con l'indirizzo del NAS e approvare la connessione se richiesto.

$ ssh root@192.168.1.33

Eseguire i seguenti comandi per ripristinare il repository dei certificati alle impostazioni predefinite (omettere la prima riga per generare solo nuovi certificati). Verrà richiesto di inserire le informazioni sul certificato. I valori predefiniti vanno bene, quindi basta premere invio finché non si raggiunge di nuovo il prompt dei comandi.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

È tutto! Uscire dal prompt dei comandi. Potrebbe essere necessario riavviare il NAS per rendere effettive le modifiche.

# exit

Creare i certificati Let's Encrypt per il NAS Zyxel

Nota: Tenere presente che si tratta di un workaround e come tale ha un piccolo effetto collaterale: quando si fa clic sulla scheda SSL nel Pannello di controllo, l'interfaccia web si blocca con l'errore 500. Se ciò accade, è possibile aggiornare la pagina e continuare con le modifiche.In questo caso, potete aggiornare la pagina e continuare il vostro lavoro. Dal momento che questa scheda non offre alcuna funzionalità necessaria per l'utilizzo di questa guida, si tratta di un inconveniente piuttosto trascurabile rispetto ai vantaggi dell'utilizzo del certificato Let's Encrypt.

Tenete presente che Esecuzione di Arch Linux o di un altro ambiente di sistema operativo basato su Linux (i comandi potrebbero variare leggermente, se ad esempio vi trovate più a vostro agio con Ubuntu, potreste trovare un suggerimento in questo articolo che descrive un approccio simile per USG, poiché sia Ubuntu che Raspbian sono basati su Debian). L'installazione di un ambiente Linux non rientra nell'ambito di questo articolo; fate riferimento alla guida all'installazione di una distro di vostra scelta. Con Arch, tuttavia, dovrebbe essere sufficiente avviare il CD Live e partire direttamente dal disco di ram.

Assicuratevi che Arch sia aggiornato:

$ sudo pacman -Syu
  • Installare certbot, un client ACME che automatizza il processo di creazione dei certificati:
$ sudo pacman -S certbot
  • Assicurarsi che Arch sia in grado di ascoltare sulla porta 80; se necessario, inoltrare la porta 80 alla propria macchina. Creare un certificato utilizzando il seguente comando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Nota: se si verifica l'errore "challenge failed for domain", i server di Let's Encrypt non sono in grado di raggiungere il vostro computer. Verificate che il port forwarding sia abilitato e assicuratevi che nessun servizio sia in esecuzione sulla porta 80 del vostro Arch. È possibile arrestare temporaneamente il servizio in questione utilizzando il comando:

$ sudo systemctl stop httpd
  • Dopo questo passo, è possibile abilitarlo di nuovo
$ sudo systemctl start httpd
  • Ora è possibile inoltrare la porta 80 al NAS e anche la porta 443, se non è già stata impostata.

Caricare i certificati Let's Encrypt per Zyxel NAS

Il certificato è pronto per essere caricato sul NAS; in questo esempio utilizzeremo un client SFTP basato su shell. Tuttavia, se si preferisce un approccio più visivo, è disponibile un'ampia gamma di strumenti per ottenere questo risultato; vedere la sezione Risoluzione dei problemi, dove sono descritte altre opzioni per gestire SFTP in Arch. Tenete presente che se decidete di spostare i certificati dalla loro memoria protetta, assicuratevi che vengano poi cancellati o messi al sicuro! Non condividete mai la vostra chiave privata!

Connettersi al NAS con i permessi di root, qui useremo sudo, altrimenti non saremmo in grado di leggere i certificati dalla memoria protetta:

$ sudo sftp root@[yournasaddress.zyxel.me]

Eseguire i seguenti comandi per copiare i certificati nelle rispettive posizioni. Durante il processo verranno eseguiti dei backup, in modo da poter ripristinare i certificati originali nel caso in cui qualcosa vada storto. Fate attenzione: state eseguendo con i permessi di root e ogni comando verrà eseguito senza chiedere. Controllate due volte gli errori di battitura. Potete anche terminare i nomi dei file e delle directory premendo Tab dopo le prime lettere; anche questo vi aiuterà a evitare errori di battitura. Tenete anche presente che i nomi sono sensibili alle maiuscole e minuscole sia su NAS che su Arch, o su qualsiasi altro Linux!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Questo è tutto! Si può uscire da SFTP usando il comando exit e riavviare il NAS!

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
0

Dopo il riavvio, è possibile accedere e verificare i risultati. Assicurarsi che SSL sia abilitato in Pannello di controllo > Rete > TCP/IP > Configuratore web. Se si desidera, si può anche imporre l'uso di HTTPS in questa scheda.
secure_NAS.png

Rinnovo dei certificati Let's Encrypt per Zyxel NAS

I certificati Let's Encrypt hanno una durata piuttosto breve. I certificati sono validi per 90 giorni dal giorno dell'emissione. Per rinnovare il certificato, è necessario inoltrare nuovamente le porte su Arch Linux, eseguire nuovamente il comando certbot e caricarlo nuovamente sul NAS.

Risoluzione dei problemi

  • Problemi comuni e soluzioni: Alcuni utenti hanno riscontrato problemi in cui il NAS visualizzava un "500 Internal Server Error" dopo aver tentato di importare un certificato. Le soluzioni comprendono la verifica del formato del certificato e la garanzia che tutti i file necessari siano stati inseriti correttamente nella directory del NAS. Altri suggeriscono di controllare la configurazione di Apache e di riavviare manualmente il server web per risolvere questi problemi (Zyxel Community) (Zyxel Community).
  • Automatizzazione del rinnovo del certificato: L'automatizzazione del rinnovo dei certificati Let's Encrypt è stato un altro argomento frequentemente discusso. Gli utenti hanno condiviso script che copiano automaticamente i certificati rinnovati sul NAS e riavviano i servizi web. Ciò comporta l'impostazione di una memoria non volatile per la directory principale e la configurazione di chiavi SSH per un login non interattivo (Zyxel Community).
  • Certificati autofirmati: Per coloro che si affidano a certificati autofirmati, alcuni hanno riscontrato problemi di accesso all'interfaccia web del NAS dopo aver abilitato HTTPS. Spesso si consiglia di disabilitare temporaneamente l'HTTPS attraverso i comandi SSH se non si riesce ad accedere all'interfaccia web, come descritto in una discussione sulla modifica dei file di configurazione di Apache (Zyxel Community).
  • Installazione e gestione dei certificati: Molti utenti hanno riscontrato problemi nell'installazione dei certificati SSL sui dispositivi NAS Zyxel. Un problema comune è il ritorno del NAS al certificato autofirmato dopo il riavvio. Per risolvere questo problema, gli utenti hanno suggerito di eliminare il file CA.cer nella directory /etc/zyxel/cert, che costringe il NAS a usare il file default.cer. Questo ha aiutato gli utenti a implementare con successo i certificati di autorità come Let's Encrypt (Zyxel Community) (Zyxel Community)
  • Ricevo "challenge failed" per il dominio [mydomain]!
    Questo errore generalmente significa che il vostro Arch non può essere raggiunto dal server della CA per verificare l'autenticità. Controllare che la porta 80 sia inoltrata alla macchina Arch e che nessun servizio sia già in esecuzione sulla porta 80 (apache?).
  • Ho importato i certificati, ma ora il mio NAS non risponde né su http né su https!
    Questo indica che il server web del NAS ha riscontrato un problema durante l'avvio, molto probabilmente si è fatta confusione durante il caricamento dei certificati sul NAS. Tuttavia, non c'è bisogno di farsi prendere dal panico, SSH/SFTP dovrebbe comunque funzionare. Nel caso in cui non si riesca a raggiungere le condizioni di funzionamento, consultare questo articolo.
  • Non mi va di usare il Terminale per gestire i file, ci sono altri suggerimenti?
    Se è più comodo, si può usare l'esploratore di file Nautilus di Gnome per eseguire la sessione SFTP con il NAS per copiare i file.
    nautilus.png
    Se non avete Gnome installato (forse siete sul Live CD di Arch), c'è un comandante ortodosso del terminale con supporto SFTP chiamato Midnight Commander che dovrebbe funzionare anche su una configurazione Arch piuttosto scarna, per installarlo ed eseguirlo come root, digitate:
    # find /etc/zyxel/cert -type f -delete
    # openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
    1

Solo un avviso: I dispositivi NAS Zyxel hanno raggiunto la fine del loro periodo di supporto. Capiamo che questo potrebbe essere un inconveniente, quindi per aiutarvi, visitate il nostro forum o esplorate la sezione NAS nella nostra base di conoscenza per tutti i dettagli. È inoltre possibile trovare un elenco dei dispositivi obsoleti e delle relative tempistiche di supporto al link sottostante.

Grazie mille per la vostra comprensione e pazienza!

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 1 su 5
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.