Zyxel Network-Attached Storage NAS - Cum să importați sau să regenerați certificatul pe stocarea Zyxel NAS

$ ssh root@192.168.1.33

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

# exit

Creați certificate Let's Encrypt pentru Zyxel NAS

Notă: Vă rugăm să rețineți că aceasta este o soluție temporară, și ca atare, are un efect secundar minor: când faceți clic pe fila SSL din Panoul de Control, interfața WebUI se blochează cu eroarea 500. Dacă se întâmplă acest lucru, puteți reîmprospăta pagina și continuați lucrul. Deoarece această filă nu oferă funcționalități necesare când folosiți acest ghid, este un mic inconvenient comparativ cu avantajele utilizării certificatului Let's Encrypt.

Asigurați-vă că Arch-ul dvs. este actualizat la zi:

$ sudo pacman -Syu

• Instalați certbot, un client ACME care va automatiza procesul de creare a certificatului:

$ sudo pacman -S certbot

• Asigurați-vă că Arch-ul dvs. poate asculta pe portul 80, dacă este necesar, redirecționați portul 80 către mașina dvs. Creați un certificat folosind comanda următoare:

$ sudo certbot certonly --standalone --preferred-challenges http -d [adresaNASului.zyxel.me]

Notă: dacă întâmpinați eroarea „challenge failed for domain”, serverele Let's Encrypt nu pot ajunge la mașina dvs. Vă rugăm să verificați dacă redirecționarea portului este activată și asigurați-vă că niciun serviciu nu rulează în prezent pe portul 80 al Arch-ului dvs. Puteți opri temporar serviciul respectiv folosind comanda:

$ sudo systemctl stop httpd

• După acest pas, îl puteți reactiva liniștit

$ sudo systemctl start httpd

• Acum puteți redirecționa portul 80 către NAS-ul dvs., precum și portul 443, dacă nu l-ați configurat deja.

Încărcați certificatele Let's Encrypt pe Zyxel NAS

Certificatul dvs. este gata să fie încărcat pe NAS. În acest exemplu vom folosi un client SFTP bazat pe shell. Există însă o gamă largă de instrumente disponibile dacă preferați o abordare mai vizuală, consultați secțiunea de depanare, unde sunt descrise alte opțiuni pentru gestionarea SFTP în Arch. Vă rugăm să țineți cont că, dacă decideți să mutați certificatele din depozitul lor protejat, asigurați-vă că acestea sunt șterse sau securizate ulterior! Nu partajați niciodată cheia privată!

Conectați-vă la NAS cu permisiuni root, vom folosi sudo aici, altfel nu am putea citi certificatele din depozitul securizat:

$ sudo sftp root@[adresaNASului.zyxel.me]

Rulați comenzile următoare pentru a copia certificatele în pozițiile lor respective. Vom face copii de rezervă în timpul procesului astfel încât să puteți restaura certificatele originale în cazul în care ceva merge prost. Vă rugăm să fiți atenți, rulați comenzi cu permisiuni root și orice comandă va fi procesată fără a întreba. Verificați de două ori eventualele greșeli de tastare. De asemenea, puteți completa numele fișierelor și directoarelor apăsând Tab după primele câteva litere, ceea ce vă va ajuta să evitați greșelile. Rețineți că numele sunt sensibile la majuscule atât pe NAS, cât și pe Arch sau orice alt Linux!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[adresaNASului.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[adresaNASului.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Asta este tot! Puteți ieși din SFTP folosind comanda exit și reporni NAS-ul!

sftp> exit

După repornire, vă puteți conecta și verifica rezultatele. Asigurați-vă că SSL este activat în Panoul de Control > Rețea > TCP/IP > Web Configurator. De asemenea, puteți impune utilizarea HTTPS pe această filă dacă doriți.

Reînnoirea certificatelor Let's Encrypt pentru Zyxel NAS

Prin design, certificatele Let's Encrypt au o durată de viață destul de scurtă. Certificatele vor fi valabile timp de 90 de zile de la data emiterii. Pentru a vă reînnoi certificatul, trebuie să redirecționați din nou porturile pe Arch Linux, să rulați din nou comanda certbot și să îl încărcați din nou pe NAS.

Depanare

• Probleme comune și soluții: Unii utilizatori s-au confruntat cu situații în care NAS-ul afișa o „Eroare internă de server 500” după încercarea de a importa un certificat. Soluțiile au inclus verificarea formatului certificatului și asigurarea că toate fișierele necesare erau plasate corect în directorul NAS. Alții au sugerat verificarea configurației Apache și repornirea manuală a serverului web pentru a rezolva aceste probleme​ (Comunitatea Zyxel)​​ (Comunitatea Zyxel)​.
• Automatizarea reînnoirii certificatelor: Automatizarea reînnoirii certificatelor Let's Encrypt a fost un alt subiect discutat frecvent. Utilizatorii au împărtășit scripturi care copiază automat certificatele reînnoite pe NAS și repornesc serviciile web. Aceasta implică configurarea stocării non-volatile pentru directorul root și configurarea cheilor SSH pentru autentificare non-interactivă​ (Comunitatea Zyxel)​.
• Certificate auto-semnate: Pentru cei care se bazează pe certificate auto-semnate, unii au întâmpinat probleme la accesarea interfeței web a NAS după activarea HTTPS. De multe ori se recomandă dezactivarea temporară a HTTPS prin comenzi SSH dacă nu puteți accesa interfața web, așa cum este detaliat într-o discuție despre modificarea fișierelor de configurare Apache​ (Comunitatea Zyxel)​.
• Instalarea și gestionarea certificatelor: Mulți utilizatori au avut probleme la instalarea certificatelor SSL pe dispozitivele Zyxel NAS. O problemă comună este că NAS-ul revine la certificatul său auto-semnate după repornire. Pentru a remedia acest lucru, utilizatorii au sugerat ștergerea fișierului CA.cer din directorul /etc/zyxel/cert, ceea ce forțează NAS-ul să folosească fișierul default.cer. Aceasta a ajutat utilizatorii să implementeze cu succes certificate de la autorități precum Let's Encrypt​ (Comunitatea Zyxel)​​ (Comunitatea Zyxel)​
• Primesc „challenge failed” pentru domeniul [mydomain]!
  Această eroare înseamnă în general că Arch-ul dvs. nu poate fi accesat de serverul CA pentru a verifica autenticitatea. Vă rugăm să verificați dacă portul 80 este redirecționat către mașina dvs. Arch și că niciun serviciu nu rulează deja pe portul 80 (apache?).
• Am importat certificatele, acum NAS-ul meu nu răspunde nici pe http, nici pe https!
  Aceasta indică faptul că serverul web al NAS-ului a întâmpinat o problemă în timpul pornirii, cel mai probabil ați amestecat fișierele când ați încărcat certificatele pe NAS. Totuși, nu este nevoie să intrați în panică, SSH/SFTP ar trebui să funcționeze în continuare.

• Nu prea vreau să folosesc Terminalul pentru a gestiona fișierele, aveți alte sugestii?
  Dacă vă este mai confortabil, puteți folosi exploratorul de fișiere Nautilus din Gnome pentru a rula sesiunea SFTP cu NAS pentru copierea fișierelor.
  
  Dacă nu aveți Gnome instalat (poate sunteți pe Live CD-ul Arch), există un comandant ortodox în Terminal cu suport SFTP numit Midnight Commander care ar trebui să funcționeze chiar și pe o configurație Arch minimală; pentru a-l instala și rula ca root, tastați:

  $ sudo pacman -S mc
  $ sudo mc

Un mic avertisment: Dispozitivele Zyxel NAS au ajuns la sfârșitul perioadei de suport. Înțelegem că acest lucru poate fi incomod, așa că pentru a vă ajuta, vă rugăm să vizitați forumul nostru sau să explorați secțiunea NAS din baza noastră de cunoștințe pentru toate detaliile. De asemenea, puteți găsi o listă cu dispozitivele învechite și cronologia suportului lor la linkul de mai jos.

• Sfârșitul vieții (EOL/EoL) / Sfârșitul suportului (EOS/EoS)
• Forum Comunitar Stocare Cloud Personală

Vă mulțumim foarte mult pentru înțelegere și răbdare!