Zyxel Network-Attached Storage [NAS] - Hoe een certificaat importeren of vernieuwen op Zyxel NAS-opslag

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de nauwkeurigheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier: Originele versie

Dit artikel biedt een snelle handleiding voor het aanmaken van nieuwe zelfondertekende certificaten op een NAS om SSL-gerelateerde fouten op te lossen en een handleiding voor het genereren en importeren van wereldwijd vertrouwde Let's Encrypt-certificaten in Arch Linux om fouten door "Connection not secure" (verbinding niet beveiligd) te voorkomen en naadloze en veilige WebGUI-toegang te garanderen.
Kennisgeving einde levensduur product: Het spijt ons u te moeten informeren dat het product "Zyxel NAS Devices" het einde van zijn levensduur heeft bereikt. Als gevolg hiervan kan de technische ondersteuning voor dit apparaat beperkt zijn. Houd er rekening mee dat elke manipulatie of elk gebruik van een apparaat dat al aan het einde van zijn levensduur is, volledig op eigen risico is. Je kunt een lijst van verouderde apparaten vinden op de onderstaande link, inclusief de datum waarop ze uit gebruik worden genomen en de datum waarop de ondersteuning afloopt. Op deze pagina vind je ook de laatste bijgewerkte versie voor je apparaat: Einde levensduur

Originele zelfondertekende certificaten genereren op Zyxel NAS

Open een opdrachtprompt. Gebruik de volgende opdracht met het adres van uw NAS om verbinding te maken en keur de verbinding goed als daarom wordt gevraagd.

$ ssh root@192.168.1.33

Voer de volgende opdrachten uit om de certificaatopslagplaats terug te zetten op de standaardwaarden (laat de eerste regel weg om alleen nieuwe certificaten te genereren). U wordt gevraagd om informatie over het certificaat in te voeren. Standaardinstellingen zijn goed genoeg, dus druk gewoon op enter totdat je weer bij de opdrachtprompt komt.

dyn_repppp_1

Dat is alles! U kunt de opdrachtprompt afsluiten. Het kan ook zijn dat u de NAS opnieuw moet opstarten om de wijzigingen van kracht te laten worden.

# exit

Let's Encrypt-certificaten aanmaken voor Zyxel NAS

Opmerking: Houd er rekening mee dat dit een workaround is, en als zodanig heeft het een klein neveneffect: als u op het tabblad SSL klikt in het configuratiescherm, wordt de WebUI afgesloten met fout 500. Als dit gebeurt, kunt u de pagina vernieuwen en verder werken.Als dit gebeurt, kunt u de pagina vernieuwen en verder gaan met uw werk. Aangezien dit tabblad geen functionaliteit biedt die nodig is bij het gebruik van deze handleiding, is dit een vrij kleine tegenslag vergeleken met de voordelen van het gebruik van het Let's Encrypt-certificaat.

Houd in gedachten: Het draaien van Arch Linux of een andere Linux-gebaseerde OS-omgeving (commando's kunnen iets afwijken, als je bijvoorbeeld meer vertrouwd bent met Ubuntu, krijg je misschien een hint in dit artikel dat een vergelijkbare aanpak beschrijft voor USG's, aangezien zowel Ubuntu als Raspbian Debian-gebaseerd zijn). De installatie van een Linux-omgeving valt buiten het bestek van dit artikel. Raadpleeg de installatiehandleiding voor een distro van je keuze. Met Arch zou je echter prima de Live CD kunnen opstarten en direct vanaf de ramdisk beginnen.

Zorg ervoor dat je Arch up-to-date is:

$ sudo pacman -Syu
  • Installeer certbot, een ACME client die het aanmaken van certificaten automatiseert:
$ sudo pacman -S certbot
  • Zorg ervoor dat je Arch kan luisteren op poort 80, stuur indien nodig poort 80 door naar je machine. Maak een certificaat aan met het volgende commando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Opmerking: als je een "challenge failed for domain" foutmelding krijgt, kunnen de Let's Encrypt servers je machine niet bereiken. Controleer of port forwarding is ingeschakeld en of er momenteel geen service draait op poort 80 van je Arch. Je kunt de betreffende service tijdelijk stoppen met het commando:

$ sudo systemctl stop httpd
  • Na deze stap kun je hem weer inschakelen
dyn_repppppppp_7
  • U kunt nu poort 80 doorsturen naar uw NAS, en ook poort 443, als u dat nog niet had ingesteld.

Let's Encrypt-certificaten uploaden voor Zyxel NAS

Uw certificaat is klaar om te worden geüpload naar uw NAS, in dit voorbeeld gebruiken we de shell-gebaseerde SFTP-client. Er is echter een breed scala aan hulpmiddelen beschikbaar om dit te bereiken als u de voorkeur geeft aan een meer visuele benadering, zie het gedeelte Problemen oplossen, waar andere opties worden beschreven voor het omgaan met SFTP in Arch. Houd er rekening mee dat als u besluit om certificaten uit hun beveiligde opslag te verplaatsen, zorg er dan voor dat ze daarna verwijderd of beveiligd worden! Deel nooit je privésleutel!

Maak verbinding met uw NAS met root-rechten, we zullen hier sudo gebruiken, anders zouden we niet in staat zijn om de certificaten uit de beveiligde opslag te lezen:

$ sudo sftp root@[yournasaddress.zyxel.me]

Voer de volgende commando's uit om de certificaten naar hun respectievelijke positie te kopiëren. We zullen back-ups maken tijdens het proces, zodat u de originele certificaten kunt herstellen voor het geval er iets misgaat. Wees voorzichtig, je draait onder root rechten en elk commando zal worden verwerkt zonder te vragen. Controleer typefouten dubbel. Je kunt ook bestands- en mapnamen afmaken door op Tab te drukken na de eerste paar letters, dit zal je ook helpen om typefouten te voorkomen. Onthoud ook dat namen hoofdlettergevoelig zijn op zowel NAS als Arch, of een andere Linux!

dyn_repppppppp_9

Dat was het! U kunt SFTP afsluiten met het commando exit en uw NAS opnieuw opstarten!

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
0

Na het herstarten kunt u inloggen en de resultaten controleren. Zorg ervoor dat SSL is ingeschakeld in Configuratiescherm > Netwerk > TCP/IP > Webconfigurator. U kunt desgewenst ook HTTPS-gebruik afdwingen op dit tabblad.
secure_NAS.png

Vernieuwen van Let's Encrypt-certificaten voor Zyxel NAS

Let's Encrypt-certificaten hebben een vrij korte levensduur. Certificaten zijn 90 dagen geldig vanaf de dag van uitgifte. Om uw certificaat te vernieuwen, moet u de poorten opnieuw doorsturen op uw Arch Linux, het certbot-commando opnieuw uitvoeren en het opnieuw uploaden op uw NAS.

Problemen oplossen met

  • Veelvoorkomende problemen en oplossingen: Sommige gebruikers hadden problemen waarbij de NAS een "500 Internal Server Error" weergaf na een poging om een certificaat te importeren. Oplossingen waren onder andere het controleren van het formaat van het certificaat en ervoor zorgen dat alle benodigde bestanden correct waren geplaatst in de NAS-map. Anderen stelden voor om de Apache-configuratie te controleren en de webserver handmatig opnieuw te starten om deze problemen op te lossen (Zyxel Community) (Zyxel Community).
  • Certificaatvernieuwing automatiseren: Het automatiseren van de vernieuwing van Let's Encrypt-certificaten was een ander veelbesproken onderwerp. Gebruikers deelden scripts die automatisch de vernieuwde certificaten kopiëren naar de NAS en de webservices herstarten. Dit omvat het instellen van niet-vluchtige opslag voor de hoofdmap en het configureren van SSH-sleutels voor niet-interactief inloggen (Zyxel Community).
  • Zelfondertekende certificaten: Voor degenen die vertrouwen op zelfondertekende certificaten, hebben sommigen problemen ondervonden bij het openen van de NAS webinterface na het inschakelen van HTTPS. Het wordt vaak aanbevolen om HTTPS tijdelijk uit te schakelen via SSH-opdrachten als u geen toegang krijgt tot de webinterface, zoals beschreven in een discussie over het wijzigen van de Apache-configuratiebestanden (Zyxel Community).
  • Certificaten installeren en beheren: Veel gebruikers ondervonden problemen met het installeren van SSL-certificaten op Zyxel NAS-apparaten. Een veel voorkomend probleem is dat de NAS na het opnieuw opstarten terugkeert naar het zelfondertekende certificaat. Om dit op te lossen, stelden gebruikers voor om het CA.cer-bestand in de map /etc/zyxel/cert te verwijderen, waardoor de NAS wordt gedwongen om in plaats daarvan het standaard.cer-bestand te gebruiken. Dit heeft gebruikers geholpen bij het succesvol implementeren van certificaten van autoriteiten zoals Let's Encrypt (Zyxel Community) (Zyxel Community)
  • Ik krijg "challenge failed" (uitdaging mislukt) voor domein [mydomain]!
    Deze fout betekent over het algemeen dat uw Arch niet kan worden bereikt door de server van de CA om de echtheid te verifiëren. Controleer of poort 80 is doorgestuurd naar uw Arch-machine en of er geen service draait op poort 80 (apache?).
  • Ik heb certificaten geïmporteerd, nu reageert mijn NAS niet op http of https!
    Dit geeft aan dat de webserver van de NAS een probleem heeft ondervonden tijdens het opstarten, waarschijnlijk hebt u dingen verwisseld tijdens het uploaden van certificaten naar uw NAS. U hoeft echter niet in paniek te raken, SSH/SFTP zou nog steeds moeten werken. Als het niet lukt om de werkomstandigheden te bereiken, raadpleeg dan dit artikel.
  • Ik heb niet echt zin om Terminal te gebruiken om met bestanden om te gaan, zijn er nog andere suggesties?
    Als het comfortabeler is voor u, kunt u de Nautilus-bestandsverkenner van Gnome gebruiken om de SFTP-sessie uit te voeren met NAS voor het kopiëren van bestanden.
    nautilus.png
    Als je Gnome niet hebt geïnstalleerd (misschien sta je op Arch's Live CD), is er de Terminal orthodoxe commandant met SFTP ondersteuning genaamd Midnight Commander die zelfs zou moeten draaien op een mooie kale Arch setup, om te installeren en te draaien als root, type:
    # find /etc/zyxel/cert -type f -delete
    # openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
    1

Even een waarschuwing: Zyxel NAS apparaten hebben het einde van hun ondersteuningsperiode bereikt. We begrijpen dat dit ongemakkelijk kan zijn, dus om u te helpen kunt u ons forum bezoeken of de NAS sectie in onze kennisbank verkennen voor alle details. U kunt ook een lijst van verouderde apparaten en hun ondersteuningstijden vinden op de onderstaande link.

Heel erg bedankt voor je begrip en geduld!

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 1 van 5
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.