Zyxel Network-Attached Storage [NAS] - Cum să importați sau să regenerați un certificat pe un sistem de stocare Zyxel NAS

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Notificare importantă:
Stimate client, vă rugăm să fiți conștient de faptul că folosim traducere automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Original Version

Acest articol oferă un tutorial rapid privind crearea de noi certificate auto-semnate pe un NAS pentru a rezolva erorile legate de SSL și un ghid privind generarea și importarea certificatelor Let's Encrypt de încredere globală în Arch Linux pentru a evita erorile "Connection not secure", asigurând un acces WebGUI sigur și fără probleme.
Notificare privind sfârșitul duratei de viață a produsului: Regretăm să vă informăm că produsul "Zyxel NAS Devices" a ajuns la sfârșitul duratei sale de viață. Ca urmare, asistența tehnică pentru acest dispozitiv poate fi limitată. Vă rugăm să fiți conștienți de faptul că orice manipulare sau utilizare a unui dispozitiv care a ajuns deja la sfârșitul duratei de viață este în întregime pe propriul dvs. risc. Puteți găsi o listă a dispozitivelor învechite, inclusiv datele de retragere și de încetare a suportului, la link-ul de mai jos. Această pagină oferă, de asemenea, cea mai recentă versiune actualizată pentru dispozitivul dumneavoastră: Sfârșitul duratei de viață

Generarea certificatelor originale cu semnătură proprie pe Zyxel NAS

Deschideți un prompt de comandă. Pentru conectare, utilizați următoarea comandă cu adresa NAS-ului dvs. și aprobați conexiunea dacă vi se solicită.

$ ssh root@192.168.1.33

Rulați următoarele comenzi pentru a restabili depozitul de certificate la setările implicite (omiteți prima linie pentru a genera doar certificate noi). Vi se va solicita să introduceți informații despre certificat. Valorile implicite sunt destul de bune, așa că apăsați Enter până când ajungeți din nou la promptul de comandă.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Asta este tot! Simțiți-vă liber să ieșiți din promptul de comandă. De asemenea, este posibil să fie necesar să reporniți NAS-ul pentru ca modificările să aibă efect.

# exit

Creați certificate Let's Encrypt pentru Zyxel NAS

Notă: rugăm să rețineți că aceasta este o soluție și, ca atare, are un efect secundar minor: când faceți clic pe fila SSL din Control Panel, WebUI se blochează cu eroarea 500. Dacă se întâmplă acest lucru, puteți actualiza pagina și vă puteți continua activitatea. Deoarece această filă nu oferă nicio funcționalitate care este necesară atunci când utilizați acest ghid, acesta este un regres destul de minor în comparație cu avantajele utilizării certificatului Let's Encrypt.

Rețineți: Rularea Arch Linux sau a unui alt mediu de sistem de operare bazat pe Linux (comenzile ar putea varia ușor, dacă vă simțiți mai confortabil cu Ubuntu, de exemplu, ați putea obține un indiciu în acest articol care descrie o abordare similară pentru USG-uri, deoarece atât Ubuntu, cât și Raspbian sunt bazate pe Debian). Instalarea unui mediu Linux iese din domeniul de aplicare al acestui articol, vă rugăm să consultați ghidul de instalare pentru o distro la alegere. Cu Arch, cu toate acestea, ar trebui să vă fie suficient să porniți CD-ul Live și să porniți direct de pe ramdisk.

Asigurați-vă că Arch rulează la zi:

$ sudo pacman -Syu
  • Instalați certbot, un client ACME care va automatiza procesul de creare a certificatelor:
$ sudo pacman -S certbot
  • Asigurați-vă că Arch-ul dvs. poate asculta pe portul 80, dacă este necesar, redirecționați portul 80 către mașina dvs. Creați un certificat utilizând următoarea comandă:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Notă: dacă întâmpinați o eroare "challenge failed for domain", serverele Let's Encrypt nu pot ajunge la computerul dvs. Vă rugăm să verificați de două ori dacă redirecționarea porturilor este activată și să vă asigurați că niciun serviciu nu rulează în prezent la portul 80 al arhivei dvs. Puteți opri temporar serviciul în cauză folosind comanda:

$ sudo systemctl stop httpd
  • După acest pas, nu ezitați să îl activați din nou
$ sudo systemctl start httpd
  • Acum puteți redirecționa portul 80 către NAS, precum și portul 443, în cazul în care nu l-ați setat deja.

Încărcați certificatele Let's Encrypt pentru Zyxel NAS

Certificatul dvs. este gata pentru a fi încărcat pe NAS, în acest exemplu vom utiliza clientul SFTP bazat pe shell. Cu toate acestea, există o gamă largă de instrumente disponibile pentru a realiza acest lucru dacă preferați o abordare mai vizuală, consultați secțiunea de depanare, unde sunt descrise alte opțiuni de gestionare a SFTP în Arch. Vă rugăm să rețineți că, dacă decideți să mutați certificatele din spațiul lor de stocare protejat, asigurați-vă că acestea sunt șterse sau securizate după aceea! Nu partajați niciodată cheia dvs. privată!

Conectați-vă la NAS cu permisiuni de root, vom folosi sudo aici, în caz contrar, nu vom putea citi certificatele din stocarea securizată:

$ sudo sftp root@[yournasaddress.zyxel.me]

Rulați următoarele comenzi pentru a copia certificatele în poziția lor respectivă. Vom face copii de rezervă în timpul procesului, astfel încât să puteți restaura certificatele originale în cazul în care ceva nu merge bine. Vă rugăm să fiți atenți, rulați cu permisiuni de root și orice comandă va fi procesată fără a fi întrebată. Verificați de două ori greșelile de scriere. De asemenea, puteți termina numele de fișiere și directoare apăsând Tab după primele câteva litere, acest lucru vă va ajuta, de asemenea, să preveniți greșelile de scriere. De asemenea, rețineți că numele sunt sensibile la majuscule atât pe NAS, cât și pe Arch, sau orice alt Linux!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Asta este tot! Puteți ieși din SFTP folosind comanda exit și reporniți NAS-ul!

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
0

După repornire, vă puteți conecta și verifica rezultatele. Asigurați-vă că SSL este activat în Control Panel > Network > TCP/IP > Web Configurator. De asemenea, puteți impune utilizarea HTTPS în această filă, dacă doriți.
secure_NAS.png

Înnoirea certificatelor Let's Encrypt pentru Zyxel NAS

Prin design, certificatele Let's Encrypt au o durată de viață destul de scurtă. Certificatele vor fi valabile timp de 90 de zile de la data emiterii. Pentru a vă reînnoi certificatul, trebuie să redirecționați din nou porturile pe Arch Linux, să rulați din nou comanda certbot și să îl încărcați din nou pe NAS.

Rezolvarea problemelor

  • Probleme comune și soluții: Unii utilizatori s-au confruntat cu probleme în care NAS afișa "500 Internal Server Error" după încercarea de a importa un certificat. Soluțiile au inclus verificarea formatului certificatului și asigurarea că toate fișierele necesare au fost plasate corect în directorul NAS. Alții au sugerat verificarea configurației Apache și repornirea manuală a serverului web pentru a rezolva aceste probleme (Comunitatea Zyxel) (Comunitatea Zyxel).
  • Automatizarea reînnoirii certificatelor: Automatizarea reînnoirii certificatelor Let's Encrypt a fost un alt subiect frecvent discutat. Utilizatorii au împărtășit scripturi care copiază automat certificatele reînnoite în NAS și repornesc serviciile web. Acest lucru implică configurarea stocării non-volatile pentru directorul rădăcină și configurarea cheilor SSH pentru autentificarea non-interactivă (Comunitatea Zyxel).
  • Certificate auto-semnate: Pentru cei care se bazează pe certificate auto-semnate, unii au întâmpinat probleme de accesare a interfeței web NAS după activarea HTTPS. Se recomandă adesea dezactivarea temporară a HTTPS prin comenzi SSH dacă nu puteți accesa interfața web, după cum se detaliază într-o discuție despre modificarea fișierelor de configurare Apache (Zyxel Community).
  • Instalarea și gestionarea certificatelor: Mulți utilizatori au întâmpinat probleme la instalarea certificatelor SSL pe dispozitivele Zyxel NAS. O problemă frecventă este revenirea NAS la certificatul său auto-semnat după repornire. Pentru a remedia această problemă, utilizatorii au sugerat ștergerea fișierului CA.cer din directorul /etc/zyxel/cert, care forțează NAS să utilizeze în schimb fișierul default.cer. Acest lucru a ajutat utilizatorii să implementeze cu succes certificate de la autorități precum Let's Encrypt (Comunitatea Zyxel) (Comunitatea Zyxel)
  • Primesc "challenge failed" pentru domeniul [mydomain]!
    Această eroare înseamnă, în general, că arhiva dvs. nu poate fi accesată de serverul CA pentru a verifica autenticitatea. Vă rugăm să verificați dacă portul 80 este redirecționat către mașina Arch și dacă niciun serviciu nu rulează deja pe portul 80 (apache?)
  • Amimportat certificate, acum NAS-ul meu nu răspunde nici pe http, nici pe https!
    Acest lucru indică faptul că serverul web al NAS-ului a întâmpinat o problemă în timpul pornirii, cel mai probabil ați încurcat lucrurile atunci când ați încărcat certificatele pe NAS. Cu toate acestea, nu trebuie să vă panicați, SSH/SFTP ar trebui să funcționeze în continuare. În cazul în care nu reușiți să obțineți condiții de lucru, vă rugăm să consultați acest articol.
  • Nu prea am chef să folosesc Terminal pentru a manipula fișiere, alte sugestii?
    Dacă este mai confortabil pentru dvs., puteți utiliza exploratorul de fișiere Nautilus din Gnome pentru a rula sesiunea SFTP cu NAS pentru copierea fișierelor.
    nautilus.png
    Dacă nu aveți Gnome instalat (poate vă aflați pe Live CD-ul Arch), există un terminal de comandă ortodox cu suport SFTP numit Midnight Commander care ar trebui să funcționeze chiar și pe o configurație Arch destul de simplă, pentru instalare și rulare ca root, tastați:
    # find /etc/zyxel/cert -type f -delete
    # openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer
    1

Doar un heads-up: Dispozitivele Zyxel NAS au ajuns la sfârșitul perioadei lor de suport. Înțelegem că acest lucru ar putea fi incomod, așa că, pentru a vă ajuta, vă rugăm să vizitați forumul nostru sau să explorați secțiunea NAS din baza noastră de cunoștințe pentru toate detaliile. De asemenea, puteți găsi o listă de dispozitive depășite și termenele lor de asistență la link-ul de mai jos.

Vă mulțumim foarte mult pentru înțelegere și răbdare!

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
1 din 5 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.