Zyxel Network-Attached Storage NAS - Jak importować lub wygenerować certyfikat na urządzeniu Zyxel NAS

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie
Ten artykuł zawiera szybki poradnik dotyczący tworzenia nowych certyfikatów samopodpisanych na NAS w celu rozwiązania błędów związanych z SSL oraz przewodnik po generowaniu i imporcie globalnie zaufanych certyfikatów Let's Encrypt w Arch Linux, aby uniknąć błędów „Połączenie nie jest bezpieczne” i zapewnić płynny oraz bezpieczny dostęp do WebGUI.

Informacja o zakończeniu wsparcia produktu: Z przykrością informujemy, że produkt „Urządzenia Zyxel NAS” osiągnął koniec okresu użytkowania. W związku z tym wsparcie techniczne dla tego urządzenia może być ograniczone. Prosimy pamiętać, że wszelkie manipulacje lub użytkowanie urządzenia, które jest już po okresie wsparcia, odbywa się całkowicie na własne ryzyko. Listę przestarzałych urządzeń wraz z datami wycofania i zakończenia wsparcia znajdziesz pod poniższym linkiem. Na tej stronie dostępna jest również najnowsza zaktualizowana wersja dla Twojego urządzenia: Koniec wsparcia

Generowanie oryginalnych certyfikatów samopodpisanych na Zyxel NAS

Otwórz wiersz poleceń. Aby się połączyć, użyj następującego polecenia z adresem Twojego NAS i zatwierdź połączenie, jeśli zostaniesz o to poproszony.

$ ssh root@192.168.1.33

Wykonaj poniższe polecenia, aby przywrócić repozytorium certyfikatów do ustawień domyślnych (pomiń pierwszą linię, jeśli chcesz tylko wygenerować nowe certyfikaty). Zostaniesz poproszony o podanie informacji dotyczących certyfikatu. Domyślne wartości są wystarczające, więc po prostu naciskaj Enter, aż powrócisz do wiersza poleceń.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

To wszystko! Możesz wyjść z wiersza poleceń. Może być również konieczny restart NAS, aby zmiany zaczęły obowiązywać.

# exit

Tworzenie certyfikatów Let's Encrypt dla Zyxel NAS

Uwaga: Prosimy mieć na uwadze, że jest to obejście, które ma jeden drobny efekt uboczny: po kliknięciu zakładki SSL w Panelu Sterowania, WebUI zablokuje się błędem 500. Jeśli to nastąpi, możesz odświeżyć stronę i kontynuować pracę. Ponieważ ta zakładka nie oferuje funkcjonalności potrzebnej podczas korzystania z tego przewodnika, jest to stosunkowo niewielka niedogodność w porównaniu z zaletami używania certyfikatu Let's Encrypt. 

Upewnij się, że Twój Arch jest aktualny:

$ sudo pacman -Syu
  • Zainstaluj certbot, klienta ACME, który zautomatyzuje proces tworzenia certyfikatu:
$ sudo pacman -S certbot
  • Upewnij się, że Twój Arch może nasłuchiwać na porcie 80, w razie potrzeby przekieruj port 80 na swoją maszynę. Utwórz certyfikat za pomocą następującego polecenia:
$ sudo certbot certonly --standalone --preferred-challenges http -d [twojadresnas.zyxel.me]

Uwaga: jeśli napotykasz błąd „challenge failed for domain”, serwery Let's Encrypt nie mogą dotrzeć do Twojej maszyny. Proszę dokładnie sprawdź, czy przekierowanie portów jest włączone oraz upewnij się, że żaden serwis nie działa aktualnie na porcie 80 Twojego Arch. Możesz tymczasowo zatrzymać dany serwis za pomocą polecenia:

$ sudo systemctl stop httpd
  • Po tym kroku możesz ponownie go włączyć
$ sudo systemctl start httpd
  • Możesz teraz przekierować port 80 na swój NAS, a także port 443, jeśli jeszcze tego nie zrobiłeś.

Wgrywanie certyfikatów Let's Encrypt na Zyxel NAS

Twój certyfikat jest gotowy do przesłania na NAS, w tym przykładzie użyjemy klienta SFTP opartego na powłoce. Istnieje jednak wiele narzędzi, które umożliwiają bardziej wizualne podejście, zobacz sekcję Rozwiązywanie problemów, gdzie opisano inne opcje obsługi SFTP w Arch. Proszę pamiętać, że jeśli zdecydujesz się przenieść certyfikaty z ich chronionego magazynu, upewnij się, że zostały one usunięte lub zabezpieczone po tym! Nigdy nie udostępniaj swojego klucza prywatnego!

Połącz się z NAS z uprawnieniami root, tutaj użyjemy sudo, w przeciwnym razie nie będziemy mogli odczytać certyfikatów z bezpiecznego magazynu:

$ sudo sftp root@[twojadresnas.zyxel.me]

Wykonaj następujące polecenia, aby skopiować certyfikaty na odpowiednie miejsce. Podczas procesu wykonamy kopie zapasowe, abyś mógł przywrócić oryginalne certyfikaty w razie problemów. Prosimy o ostrożność, działasz z uprawnieniami root i każde polecenie zostanie wykonane bez pytania. Sprawdź dokładnie literówki. Możesz także uzupełniać nazwy plików i katalogów naciskając Tab po wpisaniu kilku pierwszych liter, co również pomoże uniknąć błędów. Pamiętaj, że nazwy są rozróżniane wielkością liter zarówno na NAS, jak i na Arch czy innym Linuksie!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[twojadresnas.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[twojadresnas.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

To wszystko! Możesz wyjść z SFTP za pomocą polecenia exit i zrestartować NAS!

sftp> exit

Po restarcie możesz się zalogować i zweryfikować wyniki. Upewnij się, że SSL jest włączony w Panelu Sterowania > Sieć > TCP/IP > Konfigurator WWW. Możesz również wymusić użycie HTTPS na tej karcie, jeśli chcesz.
secure_NAS.png

Odnawianie certyfikatów Let's Encrypt dla Zyxel NAS

Z założenia certyfikaty Let's Encrypt mają dość krótki czas ważności. Certyfikaty są ważne przez 90 dni od daty wystawienia. Aby odnowić certyfikat, musisz ponownie przekierować porty na swoim Arch Linux, ponownie uruchomić polecenie certbot i ponownie wgrać certyfikat na NAS.

Rozwiązywanie problemów

  • Typowe problemy i rozwiązania: Niektórzy użytkownicy napotkali problem, gdzie NAS wyświetlał „500 Internal Server Error” po próbie importu certyfikatu. Rozwiązania obejmowały weryfikację formatu certyfikatu oraz upewnienie się, że wszystkie niezbędne pliki zostały poprawnie umieszczone w katalogu NAS. Inni sugerowali sprawdzenie konfiguracji Apache i ręczne ponowne uruchomienie serwera WWW, aby rozwiązać te problemy​ (Zyxel Community)​​ (Zyxel Community)​.
  • Automatyzacja odnawiania certyfikatów: Automatyzacja odnawiania certyfikatów Let's Encrypt była kolejnym często poruszanym tematem. Użytkownicy dzielili się skryptami, które automatycznie kopiują odnowione certyfikaty na NAS i restartują usługi sieciowe. Wymaga to skonfigurowania trwałego magazynu dla katalogu root oraz ustawienia kluczy SSH do logowania bez interakcji​ (Zyxel Community)​.
  • Certyfikaty samopodpisane: Osoby korzystające z certyfikatów samopodpisanych napotkały problemy z dostępem do interfejsu webowego NAS po włączeniu HTTPS. Często zaleca się tymczasowe wyłączenie HTTPS poprzez polecenia SSH, jeśli nie można uzyskać dostępu do interfejsu webowego, co zostało opisane w dyskusji dotyczącej modyfikacji plików konfiguracyjnych Apache​ (Zyxel Community)​.
  • Instalacja i zarządzanie certyfikatami: Wielu użytkowników miało problemy z instalacją certyfikatów SSL na urządzeniach Zyxel NAS. Częstym problemem było cofanie się NAS do certyfikatu samopodpisanego po restarcie. Aby to naprawić, użytkownicy sugerowali usunięcie pliku CA.cer w katalogu /etc/zyxel/cert, co wymusza użycie pliku default.cer. Pomogło to użytkownikom skutecznie wdrożyć certyfikaty od takich urzędów jak Let's Encrypt​ (Zyxel Community)​​ (Zyxel Community)
  • Otrzymuję błąd „challenge failed” dla domeny [mojadomena]!
    Ten błąd zazwyczaj oznacza, że serwery CA nie mogą dotrzeć do Twojego Arch, aby zweryfikować autentyczność. Sprawdź, czy port 80 jest przekierowany na Twoją maszynę Arch i czy żaden serwis nie działa już na porcie 80 (np. apache).
  • Zaimportowałem certyfikaty, a teraz mój NAS nie odpowiada ani na http, ani na https!
    Oznacza to, że serwer WWW NAS napotkał problem podczas uruchamiania, najprawdopodobniej pomieszałeś pliki podczas przesyłania certyfikatów na NAS. Nie ma jednak powodu do paniki, SSH/SFTP powinny nadal działać.

  • Nie mam ochoty używać Terminala do obsługi plików, masz jakieś inne propozycje?
    Jeśli wolisz wygodniejsze rozwiązanie, możesz użyć eksploratora plików Nautilus w środowisku Gnome do uruchomienia sesji SFTP z NAS w celu kopiowania plików.
    nautilus.png
    Jeśli nie masz zainstalowanego Gnome (może korzystasz z Live CD Arch), istnieje terminalowy menedżer plików z obsługą SFTP o nazwie Midnight Commander, który powinien działać nawet na bardzo podstawowej instalacji Arch. Aby go zainstalować i uruchomić jako root, wpisz:

    $ sudo pacman -S mc
$ sudo mc

Mała uwaga: Urządzenia Zyxel NAS osiągnęły koniec okresu wsparcia. Rozumiemy, że może to być niewygodne, dlatego zachęcamy do odwiedzenia naszego forum lub zapoznania się z sekcją NAS w naszej bazie wiedzy, gdzie znajdziesz wszystkie szczegóły. Możesz też znaleźć listę przestarzałych urządzeń i ich harmonogram wsparcia pod poniższym linkiem.

Dziękujemy bardzo za zrozumienie i cierpliwość!

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 1 z 5
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.