Zyxel Network-Attached Storage NAS - Hvordan importere eller regenerere sertifikat på Zyxel NAS-lagring

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse
Denne artikkelen gir en rask veiledning for å opprette nye selvsignerte sertifikater på en NAS for å løse SSL-relaterte feil, samt en guide for å generere og importere globalt betrodde Let's Encrypt-sertifikater i Arch Linux for å unngå "Tilkobling ikke sikker"-feil, og sikrer sømløs og sikker WebGUI-tilgang.

Produktvarsling om utgått levetid: Vi beklager å informere om at produktet "Zyxel NAS-enheter" har nådd slutten av sin brukstid. Som et resultat kan teknisk støtte for denne enheten være begrenset. Vennligst vær oppmerksom på at all manipulering eller bruk av en enhet som allerede er utgått på dato, skjer helt på eget ansvar. Du kan finne en liste over foreldede enheter, inkludert deres pensjonerings- og slutt-på-støtte-datoer, på lenken nedenfor. Denne siden gir også den siste oppdaterte versjonen for din enhet: End of Life

Generere originale selvsignerte sertifikater på Zyxel NAS

Åpne et kommandovindu. For å koble til, bruk følgende kommando med adressen til din NAS og godkjenn tilkoblingen hvis du blir bedt om det.

$ ssh root@192.168.1.33

Kjør følgende kommandoer for å gjenopprette sertifikatlageret til standard (utelat første linje hvis du bare vil generere nye sertifikater). Du vil bli bedt om å oppgi informasjon om sertifikatet. Standardverdiene er gode nok, så trykk bare enter til du kommer tilbake til kommandoprompten.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Det er alt! Du kan trygt avslutte kommandoprompten. Du må kanskje også starte NAS-en på nytt for at endringene skal tre i kraft.

# exit

Opprette Let's Encrypt-sertifikater for Zyxel NAS

Merk: Vennligst husk at dette er en omgåelse, og som sådan har det en liten bivirkning: når du klikker på SSL-fanen i Kontrollpanelet, låses WebUI ned med feil 500. Hvis dette skjer, kan du oppdatere siden og fortsette arbeidet. Siden denne fanen ikke tilbyr funksjonalitet som trengs når du bruker denne guiden, er dette en ganske liten ulempe sammenlignet med fordelene ved å bruke Let's Encrypt-sertifikatet. 

Sørg for at Arch-systemet ditt kjører oppdatert:

$ sudo pacman -Syu
  • Installer certbot, en ACME-klient som automatiserer prosessen med sertifikatopprettelse:
$ sudo pacman -S certbot
  • Sørg for at Arch kan lytte på port 80, om nødvendig videresend port 80 til maskinen din. Opprett et sertifikat med følgende kommando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Merk: hvis du får feilen "challenge failed for domain", klarer ikke Let's Encrypt-serverne å nå maskinen din. Dobbeltsjekk at portvideresending er aktivert og at ingen tjeneste kjører på port 80 på Arch-maskinen din. Du kan midlertidig stoppe tjenesten ved å bruke kommandoen:

$ sudo systemctl stop httpd
  • Etter dette kan du gjerne starte tjenesten igjen
$ sudo systemctl start httpd
  • Du kan nå videresende port 80 til NAS-en din, og også port 443 hvis du ikke allerede har satt det opp.

Last opp Let's Encrypt-sertifikater for Zyxel NAS

Sertifikatet ditt er klart til å lastes opp til NAS-en. I dette eksemplet bruker vi en shell-basert SFTP-klient. Det finnes imidlertid mange verktøy tilgjengelig for dette hvis du foretrekker en mer visuell tilnærming, se Feilsøkingsseksjonen hvor andre alternativer for håndtering av SFTP i Arch er beskrevet. Vennligst husk at hvis du velger å flytte sertifikater fra deres beskyttede lagring, må du sørge for å slette eller sikre dem etterpå! Del aldri din private nøkkel!

Koble til NAS-en med root-rettigheter, vi bruker sudo her, ellers vil vi ikke kunne lese sertifikatene fra den sikre lagringen:

$ sudo sftp root@[yournasaddress.zyxel.me]

Kjør følgende kommandoer for å kopiere sertifikatene til deres respektive plassering. Vi lager sikkerhetskopier underveis slik at du kan gjenopprette originale sertifikater hvis noe går galt. Vær forsiktig, du kjører med root-rettigheter og alle kommandoer vil bli utført uten å spørre. Dobbeltsjekk for skrivefeil. Du kan også fullføre fil- og katalognavn ved å trykke Tab etter de første bokstavene, dette hjelper også med å unngå skrivefeil. Husk også at navn er store- og småbokstavsensitive både på NAS og Arch, eller andre Linux-systemer!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Det er det! Du kan avslutte SFTP med kommandoen exit og starte NAS-en på nytt!

sftp> exit

Etter omstart kan du logge inn og verifisere resultatene. Sørg for at SSL er aktivert i Kontrollpanel > Nettverk > TCP/IP > Webkonfigurator. Du kan også tvinge bruk av HTTPS på denne fanen hvis ønskelig.
secure_NAS.png

Fornyelse av Let's Encrypt-sertifikater for Zyxel NAS

By design er Let's Encrypt-sertifikater ganske kortvarige. Sertifikatene er gyldige i 90 dager fra utstedelsesdato. For å fornye sertifikatet må du videresende portene på Arch Linux på nytt, kjøre certbot-kommandoen igjen og laste det opp på NAS-en igjen.

Feilsøking

  • Vanlige problemer og løsninger: Noen brukere opplevde at NAS viste "500 Internal Server Error" etter forsøk på å importere et sertifikat. Løsninger inkluderte å verifisere sertifikatets format og sikre at alle nødvendige filer var riktig plassert i NAS-katalogen. Andre foreslo å sjekke Apache-konfigurasjonen og manuelt starte webserveren på nytt for å løse disse problemene​ (Zyxel Community)​​ (Zyxel Community)​.
  • Automatisering av sertifikatfornyelse: Automatisering av fornyelse av Let's Encrypt-sertifikater var et annet ofte diskutert tema. Brukere delte skript som automatisk kopierer fornyede sertifikater til NAS og starter webtjenestene på nytt. Dette innebærer å sette opp ikke-flyktig lagring for root-katalogen og konfigurere SSH-nøkler for ikke-interaktiv pålogging​ (Zyxel Community)​.
  • Selvsignerte sertifikater: For de som er avhengige av selvsignerte sertifikater, opplevde noen problemer med tilgang til NAS webgrensesnitt etter aktivering av HTTPS. Det anbefales ofte å midlertidig deaktivere HTTPS via SSH-kommandoer hvis du ikke får tilgang til webgrensesnittet, som beskrevet i en diskusjon om modifisering av Apache-konfigurasjonsfiler​ (Zyxel Community)​.
  • Installasjon og administrasjon av sertifikater: Mange brukere opplevde problemer med å installere SSL-sertifikater på Zyxel NAS-enheter. Et vanlig problem er at NAS går tilbake til sitt selvsignerte sertifikat etter omstart. For å fikse dette foreslo brukere å slette CA.cer-filen i /etc/zyxel/cert-katalogen, noe som tvinger NAS til å bruke default.cer-filen i stedet. Dette har hjulpet brukere med å implementere sertifikater fra autoriteter som Let's Encrypt​ (Zyxel Community)​​ (Zyxel Community)
  • Jeg får "challenge failed" for domenet [mydomain]!
    Denne feilen betyr vanligvis at Arch-maskinen din ikke kan nås av CA-serveren for å verifisere ektheten. Vennligst sjekk om port 80 er videresendt til Arch-maskinen din og at ingen tjeneste allerede kjører på port 80 (apache?).
  • Jeg har importert sertifikater, nå svarer ikke NAS-en min på verken http eller https!
    Dette indikerer at NAS sin webserver hadde et problem under oppstart, mest sannsynlig har du blandet sammen filene når du lastet opp sertifikatene til NAS. Men det er ingen grunn til panikk, SSH/SFTP skal fortsatt fungere.

  • Jeg har egentlig ikke lyst til å bruke Terminal for å håndtere filer, har du noen andre forslag?
    Hvis det er mer behagelig for deg, kan du bruke Gnomes Nautilus filutforsker for å kjøre SFTP-økt med NAS for å kopiere filer.
    nautilus.png
    Hvis du ikke har Gnome installert (kanskje du bruker Arch Live CD), finnes det en terminalbasert ortodoks kommandør med SFTP-støtte kalt Midnight Commander som skal kjøre selv på et ganske minimalistisk Arch-oppsett. For å installere og kjøre som root, skriv:

    $ sudo pacman -S mc
$ sudo mc

En liten påminnelse: Zyxel NAS-enheter har nådd slutten av sin støttesyklus. Vi forstår at dette kan være upraktisk, så for å hjelpe deg, vennligst besøk vårt forum eller utforsk NAS-seksjonen i kunnskapsbasen vår for alle detaljer. Du kan også finne en liste over utdaterte enheter og deres støttetidslinjer på lenken nedenfor.

Tusen takk for din forståelse og tålmodighet!

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
1 av 5 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.