Zyxel Network-Attached Storage [NAS] - Jak zaimportować lub zregenerować certyfikat na pamięci masowej Zyxel NAS?

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Ten artykuł zawiera krótki samouczek dotyczący tworzenia nowych samopodpisanych certyfikatów na serwerze NAS w celu rozwiązania błędów związanych z SSL oraz przewodnik dotyczący generowania i importowania globalnie zaufanych certyfikatów Let's Encrypt w Arch Linux, aby uniknąć błędów "Połączenie nie jest bezpieczne", zapewniając płynny i bezpieczny dostęp do WebGUI.
Powiadomienie o zakończeniu okresu użytkowania produktu: Z przykrością informujemy, że okres użytkowania produktu "Zyxel NAS Devices " dobiegł końca.W związku z tym wsparcie techniczne dla tego urządzenia może być ograniczone. Należy pamiętać, że wszelkie manipulacje lub korzystanie z urządzenia, które jest już wycofane z eksploatacji, odbywa się wyłącznie na własne ryzyko. Listę przestarzałych urządzeń, w tym daty ich wycofania i zakończenia wsparcia, można znaleźć pod poniższym linkiem. Na tej stronie znajduje się również najnowsza zaktualizowana wersja dla danego urządzenia: End of Life

Generowanie oryginalnych certyfikatów z podpisem własnym na serwerze Zyxel NAS

Otwórz wiersz polecenia. Aby się połączyć, użyj następującego polecenia z adresem serwera NAS i zatwierdź połączenie, jeśli zostanie wyświetlony monit.

dyn_repppp_0

Uruchom następujące polecenia, aby przywrócić domyślne ustawienia repozytorium certyfikatów (pomiń pierwszą linię, aby wygenerować nowe certyfikaty). Zostaniesz poproszony o wprowadzenie informacji o certyfikacie. Domyślne ustawienia są wystarczające, więc po prostu naciśnij enter, aż ponownie pojawi się wiersz polecenia.

dyn_repppp_1

To wszystko! Możesz opuścić wiersz polecenia. Może być również konieczne ponowne uruchomienie serwera NAS, aby zmiany zaczęły obowiązywać.

dyn_repppp_2

Tworzenie certyfikatów Let's Encrypt dla serwera Zyxel NAS

Uwaga: Należy pamiętać,że jest to obejście i jako takie ma jeden niewielki efekt uboczny: po kliknięciu karty SSL w Panelu sterowania interfejs WebUI blokuje się z błędem 500 .Jeśli tak się stanie, możesz odświeżyć stronę i kontynuować pracę. Ponieważ ta zakładka nie oferuje żadnych funkcji, które są potrzebne podczas korzystania z tego przewodnika, jest to dość niewielka wada w porównaniu z zaletami korzystania z certyfikatu Let's Encrypt.

Należy pamiętać: Uruchomienie Arch Linux lub innego środowiska systemu operacyjnego opartego na Linuksie (polecenia mogą się nieznacznie różnić, jeśli na przykład czujesz się bardziej komfortowo z Ubuntu, możesz uzyskać podpowiedź w tym artykule, który opisuje podobne podejście do USG, ponieważ zarówno Ubuntu, jak i Raspbian są oparte na Debianie). Instalacja środowiska Linux wykracza poza zakres tego artykułu, zapoznaj się z instrukcją instalacji wybranej dystrybucji. Jednak w przypadku Arch wystarczy uruchomić Live CD i rozpocząć pracę bezpośrednio z ramdysku.

Upewnij się, że twój Arch jest aktualny:

dyn_repppp_3
  • Zainstaluj certbota, klienta ACME, który zautomatyzuje proces tworzenia certyfikatu:
dyn_repppp_4
  • Upewnij się, że twój Arch może nasłuchiwać na porcie 80, jeśli to konieczne, przekieruj port 80 na swoją maszynę. Utwórz certyfikat za pomocą następującego polecenia:
dyn_repppp_5

Uwaga: jeśli napotykasz błąd "challenge failed for domain", serwery Let's Encrypt nie są w stanie dotrzeć do twojego komputera. Sprawdź dwukrotnie, czy przekierowanie portów jest włączone i upewnij się, że żadna usługa nie jest obecnie uruchomiona na porcie 80 twojego Arch. Możesz tymczasowo zatrzymać daną usługę za pomocą polecenia:

dyn_repppp_6
  • Po tym kroku, możesz włączyć ją ponownie
dyn_repppp_7
  • Możesz teraz przekierować swój port 80 na NAS, a także port 443, jeśli jeszcze go nie ustawiłeś.

Wgraj certyfikaty Let's Encrypt dla serwera Zyxel NAS

Certyfikat jest gotowy do przesłania na serwer NAS, w tym przykładzie użyjemy klienta SFTP opartego na powłoce. Istnieje jednak szeroka gama dostępnych narzędzi do osiągnięcia tego celu, jeśli wolisz bardziej wizualne podejście, zobacz sekcję Rozwiązywanie problemów, gdzie opisano inne opcje obsługi SFTP w Arch. Pamiętaj, że jeśli zdecydujesz się przenieść certyfikaty z ich chronionego magazynu, upewnij się, że zostały one usunięte lub zabezpieczone! Nigdy nie udostępniaj swojego klucza prywatnego!

Połącz się z serwerem NAS z uprawnieniami roota, użyjemy tutaj sudo, w przeciwnym razie nie będziemy w stanie odczytać certyfikatów z bezpiecznego magazynu:

dyn_repppp_8

Uruchom następujące polecenia, aby skopiować certyfikaty do odpowiedniej pozycji. Podczas tego procesu będziemy tworzyć kopie zapasowe, aby można było przywrócić oryginalne certyfikaty na wypadek, gdyby coś poszło nie tak. Zachowaj ostrożność, działasz z uprawnieniami roota i każde polecenie zostanie przetworzone bez pytania. Sprawdź dwukrotnie literówki. Możesz również zakończyć nazwy plików i katalogów, naciskając klawisz Tab po kilku pierwszych literach, co również pomoże ci uniknąć literówek. Należy również pamiętać, że wielkość liter w nazwach jest rozróżniana zarówno na NAS jak i Arch, czy jakimkolwiek innym Linuksie!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

To wszystko! Możesz wyjść z SFTP za pomocą polecenia exit i zrestartować NAS!

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
0

Po ponownym uruchomieniu możesz się zalogować i zweryfikować wyniki. Upewnij się, że protokół SSL jest włączony w Panelu sterowania > Sieć > TCP/IP > Web Configurator. Jeśli chcesz, możesz również wymusić użycie protokołu HTTPS na tej karcie.
secure_NAS.png

Odnawianie certyfikatów Let's Encrypt dla Zyxel NAS

Z założenia certyfikaty Let's Encrypt są dość krótkotrwałe. Certyfikaty są ważne przez 90 dni od daty wystawienia. Aby odnowić certyfikat, należy ponownie przekierować porty w systemie Arch Linux, ponownie uruchomić polecenie certbot i ponownie przesłać go na serwer NAS.

Rozwiązywanie problemów

  • Typowe problemy i rozwiązania: Niektórzy użytkownicy napotykali problemy, w których NAS wyświetlał "500 Internal Server Error" po próbie zaimportowania certyfikatu. Rozwiązania obejmowały weryfikację formatu certyfikatu i upewnienie się, że wszystkie niezbędne pliki zostały poprawnie umieszczone w katalogu NAS. Inni sugerowali sprawdzenie konfiguracji Apache i ręczne ponowne uruchomienie serwera WWW w celu rozwiązania tych problemów (Zyxel Community) (Zyxel Community).
  • Automatyzacja odnawiania certyfikatów: Automatyzacja odnawiania certyfikatów Let's Encrypt była kolejnym często omawianym tematem. Użytkownicy udostępniali skrypty, które automatycznie kopiują odnowione certyfikaty na serwer NAS i ponownie uruchamiają usługi sieciowe. Wymaga to skonfigurowania nieulotnej pamięci masowej dla katalogu głównego i skonfigurowania kluczy SSH do nieinteraktywnego logowania (Zyxel Community).
  • Certyfikaty zpodpisem własnym: W przypadku osób korzystających z samodzielnie podpisanych certyfikatów, niektórzy napotkali problemy z dostępem do interfejsu internetowego NAS po włączeniu HTTPS. Często zaleca się tymczasowe wyłączenie HTTPS za pomocą poleceń SSH, jeśli nie można uzyskać dostępu do interfejsu internetowego, jak opisano w dyskusji na temat modyfikacji plików konfiguracyjnych Apache (ZyxelCommunity).
  • Instalacja i zarządzanie certyfikatami: Wielu użytkowników doświadczyło problemów z instalacją certyfikatów SSL na urządzeniach Zyxel NAS. Powszechnym problemem jest przywracanie przez NAS samopodpisanego certyfikatu po ponownym uruchomieniu. Aby to naprawić, użytkownicy sugerowali usunięcie pliku CA.cer w katalogu /etc/zyxel/cert, co zmusza NAS do użycia domyślnego pliku .cer. Pomogło to użytkownikom z powodzeniem wdrożyć certyfikaty z urzędów takich jak Let's Encrypt (Zyxel Community) (Zyxel Community)
  • Otrzymuję komunikat"wyzwanie nie powiodło się" dla domeny [mydomain]!
    Ten błąd zazwyczaj oznacza, że serwer CA nie może połączyć się z Twoim serwerem Arch w celu zweryfikowania autentyczności. Sprawdź, czy port 80 jest przekierowany do twojego komputera Arch i czy żadna usługa nie jest już uruchomiona na porcie 80 (apache?).
  • Zaimportowałemcertyfikaty, teraz mój NAS nie odpowiada ani na http ani na https!
    Wskazuje to, że serwer sieciowy NAS napotkał problem podczas uruchamiania, najprawdopodobniej pomieszałeś rzeczy podczas wgrywania certyfikatów na NAS. Nie ma jednak powodów do paniki, SSH/SFTP powinno nadal działać. Jeśli nie jesteś w stanie osiągnąć warunków pracy, zapoznaj się z tym artykułem.
  • Nie mam ochoty używać Terminala do obsługi plików, jakieś inne sugestie?
    Jeśli jest to dla ciebie wygodniejsze, możesz użyć eksploratora plików Nautilus Gnome, aby uruchomić sesję SFTP z NAS do kopiowania plików.
    nautilus.png
    Jeśli nie masz zainstalowanego Gnome (może jesteś na Live CD Archa), istnieje ortodoksyjny Terminal Commander z obsługą SFTP o nazwie Midnight Commander, który powinien działać nawet na całkiem gołej konfiguracji Archa, aby zainstalować i uruchomić jako root, wpisz:
    dyn_repppp_11

Dla przypomnienia: Urządzenia Zyxel NAS osiągnęły koniec okresu wsparcia. Rozumiemy, że może to być niewygodne, więc aby ci pomóc, odwiedź nasze forum lub zapoznaj się z sekcją NAS w naszej bazie wiedzy, aby uzyskać wszystkie szczegóły. Listę przestarzałych urządzeń i terminy ich wsparcia można również znaleźć pod poniższym linkiem.

Bardzo dziękujemy za zrozumienie i cierpliwość!

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 1 z 5
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.