Zyxel Network-Attached Storage NAS - Hoe een certificaat importeren of opnieuw genereren op Zyxel NAS opslag

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen
Dit artikel biedt een snelle handleiding voor het aanmaken van nieuwe zelfondertekende certificaten op een NAS om SSL-gerelateerde fouten op te lossen, en een gids voor het genereren en importeren van wereldwijd vertrouwde Let's Encrypt-certificaten in Arch Linux om "Verbinding niet beveiligd" fouten te voorkomen, zodat naadloze en veilige WebGUI-toegang gegarandeerd is.

Einde-leven productmelding: We moeten u helaas informeren dat het product "Zyxel NAS-apparaten" het einde van zijn levensduur heeft bereikt. Als gevolg hiervan kan de technische ondersteuning voor dit apparaat beperkt zijn. Houd er rekening mee dat elke manipulatie of het gebruik van een apparaat dat al end-of-life is volledig op eigen risico is. U kunt een lijst met verouderde apparaten, inclusief hun uitdiensttredings- en einde-ondersteuningsdata, vinden via onderstaande link. Deze pagina biedt ook de laatste bijgewerkte versie voor uw apparaat: End of Life

Originele zelfondertekende certificaten genereren op Zyxel NAS

Open een opdrachtprompt. Gebruik het volgende commando met het adres van uw NAS om verbinding te maken en bevestig de verbinding indien gevraagd.

$ ssh root@192.168.1.33

Voer de volgende commando's uit om de certificaatrepository te herstellen naar de standaardinstellingen (sla de eerste regel over als u alleen nieuwe certificaten wilt genereren). U wordt gevraagd informatie over het certificaat in te voeren. De standaardwaarden zijn voldoende, dus druk gewoon op enter totdat u weer bij de opdrachtprompt bent.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Dat is alles! U kunt de opdrachtprompt nu afsluiten. Mogelijk moet u de NAS opnieuw opstarten om de wijzigingen door te voeren.

# exit

Let's Encrypt-certificaten aanmaken voor Zyxel NAS

Opmerking: Houd er rekening mee dat dit een tijdelijke oplossing is, en dat dit één klein neveneffect heeft: wanneer u op het SSL-tabblad in het Configuratiescherm klikt, blokkeert de WebUI met fout 500. Als dit gebeurt, kunt u de pagina vernieuwen en uw werk voortzetten. Aangezien dit tabblad geen functionaliteit biedt die nodig is bij het gebruik van deze gids, is dit een vrij kleine beperking vergeleken met de voordelen van het gebruik van het Let's Encrypt-certificaat.

Zorg dat uw Arch up-to-date is:

$ sudo pacman -Syu
  • Installeer certbot, een ACME-client die het aanmaken van certificaten automatiseert:
$ sudo pacman -S certbot
  • Zorg dat uw Arch kan luisteren op poort 80, en indien nodig, zet poort 80 door naar uw machine. Maak een certificaat aan met het volgende commando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Opmerking: als u de foutmelding "challenge failed for domain" krijgt, kunnen de Let's Encrypt-servers uw machine niet bereiken. Controleer of poort forwarding is ingeschakeld en zorg dat er geen service draait op poort 80 van uw Arch. U kunt de betreffende service tijdelijk stoppen met het commando:

$ sudo systemctl stop httpd
  • Na deze stap kunt u de service weer inschakelen
$ sudo systemctl start httpd
  • U kunt nu poort 80 en ook poort 443 doorsturen naar uw NAS, als u dit nog niet had ingesteld.

Let's Encrypt-certificaten uploaden voor Zyxel NAS

Uw certificaat is klaar om naar uw NAS geüpload te worden. In dit voorbeeld gebruiken we een shell-gebaseerde SFTP-client. Er zijn echter veel tools beschikbaar als u liever een visuele aanpak gebruikt, zie de Probleemoplossingssectie, waar andere opties voor het gebruik van SFTP in Arch worden beschreven. Houd er rekening mee dat als u certificaten uit hun beveiligde opslag verplaatst, zorg dan dat ze daarna verwijderd of beveiligd worden! Deel uw privésleutel nooit!

Maak verbinding met uw NAS met rootrechten, we gebruiken hier sudo, anders kunnen we de certificaten uit de beveiligde opslag niet lezen:

$ sudo sftp root@[yournasaddress.zyxel.me]

Voer de volgende commando's uit om de certificaten naar de juiste locatie te kopiëren. We maken tijdens het proces back-ups zodat u de originele certificaten kunt herstellen als er iets misgaat. Wees voorzichtig, u werkt met rootrechten en elk commando wordt zonder vragen uitgevoerd. Controleer spelfouten goed. U kunt ook bestands- en mapnamen aanvullen door na de eerste letters op Tab te drukken, dit helpt ook om spelfouten te voorkomen. Houd er ook rekening mee dat namen hoofdlettergevoelig zijn op zowel NAS als Arch, en andere Linux-systemen!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Dat is het! U kunt SFTP afsluiten met het exit-commando en uw NAS opnieuw opstarten!

sftp> exit

Na het herstarten kunt u inloggen en de resultaten controleren. Zorg dat SSL is ingeschakeld in Configuratiescherm > Netwerk > TCP/IP > Web Configurator. U kunt ook afdwingen dat HTTPS wordt gebruikt op dit tabblad als u dat wilt.
secure_NAS.png

Let's Encrypt-certificaten verlengen voor Zyxel NAS

Let's Encrypt-certificaten zijn van ontwerp korte tijd geldig. Certificaten zijn 90 dagen geldig vanaf de dag van uitgifte. Om uw certificaat te verlengen, moet u de poorten op uw Arch Linux opnieuw doorsturen, het certbot-commando opnieuw uitvoeren en het certificaat opnieuw op uw NAS uploaden.

Probleemoplossing

  • Veelvoorkomende problemen en oplossingen: Sommige gebruikers ondervonden dat de NAS een "500 Internal Server Error" weergeeft na het proberen te importeren van een certificaat. Oplossingen waren onder andere het controleren van het certificaatformaat en ervoor zorgen dat alle benodigde bestanden correct in de NAS-map stonden. Anderen stelden voor om de Apache-configuratie te controleren en de webserver handmatig opnieuw te starten om deze problemen op te lossen​ (Zyxel Community)​​ (Zyxel Community)​.
  • Automatiseren van certificaatverlenging: Het automatiseren van de verlenging van Let's Encrypt-certificaten was een ander veel besproken onderwerp. Gebruikers deelden scripts die automatisch de vernieuwde certificaten naar de NAS kopiëren en de webservices herstarten. Dit omvat het instellen van niet-vluchtige opslag voor de rootdirectory en het configureren van SSH-sleutels voor niet-interactieve login​ (Zyxel Community)​.
  • Zelfondertekende certificaten: Voor degenen die vertrouwen op zelfondertekende certificaten, hadden sommigen problemen met toegang tot de NAS-webinterface na het inschakelen van HTTPS. Het wordt vaak aanbevolen HTTPS tijdelijk uit te schakelen via SSH-commando's als u geen toegang tot de webinterface heeft, zoals beschreven in een discussie over het aanpassen van Apache-configuratiebestanden​ (Zyxel Community)​.
  • Certificaten installeren en beheren: Veel gebruikers ondervonden problemen bij het installeren van SSL-certificaten op Zyxel NAS-apparaten. Een veel voorkomend probleem is dat de NAS na herstart terugvalt op zijn zelfondertekende certificaat. Om dit op te lossen, stelden gebruikers voor het CA.cer-bestand in de /etc/zyxel/cert-map te verwijderen, waardoor de NAS het default.cer-bestand gaat gebruiken. Dit heeft gebruikers geholpen om certificaten van autoriteiten zoals Let's Encrypt succesvol te implementeren​ (Zyxel Community)​​ (Zyxel Community)
  • Ik krijg "challenge failed" voor domein [mydomain]!
    Deze fout betekent over het algemeen dat uw Arch niet bereikbaar is door de CA-server om authenticiteit te verifiëren. Controleer of poort 80 wordt doorgestuurd naar uw Arch-machine en dat er geen service draait op poort 80 (bijv. apache).
  • Ik heb certificaten geïmporteerd, maar mijn NAS reageert niet meer op http of https!
    Dit duidt erop dat de webserver van de NAS een probleem had tijdens het opstarten, waarschijnlijk heeft u iets verkeerd gedaan bij het uploaden van de certificaten. Panikeer niet, SSH/SFTP zou nog steeds moeten werken.

  • Ik heb niet zo'n zin om Terminal te gebruiken voor bestandsbeheer, andere suggesties?
    Als u het prettiger vindt, kunt u de Nautilus-bestandsverkenner van Gnome gebruiken om een SFTP-sessie met de NAS te starten voor het kopiëren van bestanden.
    nautilus.png
    Als u Gnome niet geïnstalleerd heeft (misschien gebruikt u Arch's Live CD), is er de Terminal orthodoxe commander met SFTP-ondersteuning genaamd Midnight Commander, die zelfs op een vrij kale Arch-installatie zou moeten werken. Om te installeren en als root te starten, typ:

    $ sudo pacman -S mc
$ sudo mc

Even ter info: Zyxel NAS-apparaten hebben het einde van hun ondersteuningsperiode bereikt. We begrijpen dat dit ongemakkelijk kan zijn, dus om u te helpen, bezoekt u onze forum of bekijkt u de NAS-sectie in onze kennisbank voor alle details. U kunt ook een lijst met verouderde apparaten en hun ondersteuningsschema's vinden via onderstaande link.

Hartelijk dank voor uw begrip en geduld!

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 1 van 5
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.