Creare certificati Let's Encrypt per Zyxel NAS
Nota: Ti preghiamo di tenere a mente che questa è una soluzione temporanea, e come tale presenta un piccolo effetto collaterale: quando clicchi sulla scheda SSL nel Pannello di Controllo, il WebUI si blocca con errore 500. Se ciò accade, puoi aggiornare la pagina e continuare il tuo lavoro. Poiché questa scheda non offre funzionalità necessarie durante l'uso di questa guida, si tratta di un inconveniente piuttosto marginale rispetto ai vantaggi dell'uso del certificato Let's Encrypt.
Assicurati che il tuo Arch sia aggiornato all'ultima versione:
$ sudo pacman -Syu- Installa certbot, un client ACME che automatizzerà il processo di creazione del certificato:
$ sudo pacman -S certbot- Assicurati che il tuo Arch possa ascoltare sulla porta 80, se necessario, inoltra la porta 80 alla tua macchina. Crea un certificato usando il seguente comando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]Nota: se incontri un errore "challenge failed for domain", i server Let's Encrypt non riescono a raggiungere la tua macchina. Controlla che il port forwarding sia abilitato e assicurati che nessun servizio stia attualmente usando la porta 80 sul tuo Arch. Puoi fermare temporaneamente il servizio in questione usando il comando:
$ sudo systemctl stop httpd- Dopo questo passaggio, sentiti libero di riattivarlo
$ sudo systemctl start httpd- Ora puoi inoltrare la porta 80 al tuo NAS, e anche la porta 443, se non l'hai già impostata.
Caricare i certificati Let's Encrypt per Zyxel NAS
Il tuo certificato è pronto per essere caricato sul tuo NAS, in questo esempio useremo un client SFTP basato su shell. Tuttavia, esiste un'ampia gamma di strumenti disponibili per questo scopo se preferisci un approccio più visivo, vedi la sezione Risoluzione dei problemi, dove sono descritte altre opzioni per gestire SFTP in Arch. Tieni presente che se decidi di spostare i certificati dal loro storage protetto, assicurati che vengano cancellati o messi in sicurezza successivamente! Non condividere mai la tua chiave privata!
Connettiti al tuo NAS con permessi root, qui useremo sudo, altrimenti non potremmo leggere i certificati dallo storage sicuro:
$ sudo sftp root@[yournasaddress.zyxel.me]Esegui i seguenti comandi per copiare i certificati nelle rispettive posizioni. Faremo backup durante il processo così potrai ripristinare i certificati originali in caso di problemi. Per favore fai attenzione, stai operando con permessi root e ogni comando sarà eseguito senza ulteriori richieste. Ricontrolla eventuali errori di battitura. Puoi anche completare i nomi di file e directory premendo Tab dopo le prime lettere, questo ti aiuterà a evitare errori. Ricorda inoltre che i nomi sono case-sensitive sia su NAS che su Arch, o qualsiasi altro Linux!
sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cerFatto! Puoi uscire da SFTP usando il comando exit e riavviare il tuo NAS!
sftp> exitDopo il riavvio, puoi effettuare il login e verificare i risultati. Assicurati che SSL sia abilitato in Pannello di Controllo > Rete > TCP/IP > Web Configurator. Puoi anche forzare l'uso di HTTPS in questa scheda se desideri.
Rinnovo dei certificati Let's Encrypt per Zyxel NAS
Per progettazione, i certificati Let's Encrypt hanno una durata piuttosto breve. I certificati saranno validi per 90 giorni dalla data di emissione. Per rinnovare il certificato, devi nuovamente inoltrare le porte sul tuo Arch Linux, rieseguire il comando certbot e caricarlo nuovamente sul tuo NAS.
Risoluzione dei problemi
- Problemi comuni e soluzioni: Alcuni utenti hanno riscontrato problemi in cui il NAS mostrava un "Errore interno del server 500" dopo aver tentato di importare un certificato. Le soluzioni includevano la verifica del formato del certificato e l'assicurarsi che tutti i file necessari fossero correttamente posizionati nella directory del NAS. Altri hanno suggerito di controllare la configurazione di Apache e di riavviare manualmente il server web per risolvere questi problemi (Zyxel Community) (Zyxel Community).
- Automatizzare il rinnovo dei certificati: L'automatizzazione del rinnovo dei certificati Let's Encrypt è stato un altro argomento frequentemente discusso. Gli utenti hanno condiviso script che copiano automaticamente i certificati rinnovati sul NAS e riavviano i servizi web. Questo comporta la configurazione di uno storage non volatile per la directory root e la configurazione di chiavi SSH per il login non interattivo (Zyxel Community).
- Certificati autofirmati: Per chi si affida a certificati autofirmati, alcuni hanno riscontrato problemi nell'accesso all'interfaccia web del NAS dopo aver abilitato HTTPS. Spesso si consiglia di disabilitare temporaneamente HTTPS tramite comandi SSH se non si riesce ad accedere all'interfaccia web, come dettagliato in una discussione sulla modifica dei file di configurazione di Apache (Zyxel Community).
-
Installazione e gestione dei certificati: Molti utenti hanno avuto problemi nell'installare certificati SSL sui dispositivi Zyxel NAS. Un problema comune è che il NAS torna al certificato autofirmato dopo il riavvio. Per risolvere questo, gli utenti hanno suggerito di cancellare il file
CA.cernella directory/etc/zyxel/cert, il che costringe il NAS a usare invece il filedefault.cer. Questo ha aiutato gli utenti a implementare con successo certificati da autorità come Let's Encrypt (Zyxel Community) (Zyxel Community) -
Ricevo "challenge failed" per il dominio [mydomain]!
Questo errore generalmente significa che il tuo Arch non è raggiungibile dal server CA per verificare l'autenticità. Controlla che la porta 80 sia inoltrata alla macchina Arch e che nessun servizio stia già usando la porta 80 (apache?). -
Ho importato i certificati, ora il mio NAS non risponde né su http né su https!
Questo indica che il server web del NAS ha incontrato un problema durante l'avvio, molto probabilmente hai confuso qualcosa durante il caricamento dei certificati sul NAS. Tuttavia, non c'è bisogno di panico, SSH/SFTP dovrebbe ancora funzionare. -
Non mi piace usare il Terminale per gestire i file, ci sono altre soluzioni?
Se ti è più comodo, puoi usare l'esplora file Nautilus di Gnome per avviare una sessione SFTP con il NAS per copiare i file.
Se non hai Gnome installato (forse stai usando il Live CD di Arch), esiste un file manager ortodosso da terminale con supporto SFTP chiamato Midnight Commander che dovrebbe funzionare anche su una configurazione Arch molto minimale; per installarlo ed eseguirlo come root, digita:$ sudo pacman -S mc $ sudo mc
Solo un avviso: I dispositivi Zyxel NAS hanno raggiunto la fine del loro periodo di supporto. Comprendiamo che questo possa essere scomodo, quindi per aiutarti, visita il nostro forum o esplora la sezione NAS nella nostra knowledge base per tutti i dettagli. Puoi anche trovare un elenco dei dispositivi obsoleti e le loro tempistiche di supporto al link sottostante.
Grazie mille per la tua comprensione e pazienza!
Commenti
0 commentiAccedi per aggiungere un commento.