Sieťové úložisko Zyxel [NAS] - Ako importovať alebo regenerovať certifikát v úložisku Zyxel NAS

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

# exit

Vytvorenie certifikátov Let's Encrypt pre zariadenie Zyxel NAS

Poznámka: Majte napamäti, že ide o riešenie, a preto má jeden menší vedľajší účinok: keď kliknete na kartu SSL v ovládacom paneli, webové rozhranie sa zablokuje s chybou 500 .Ak sa tak stane, môžete stránku obnoviť a pokračovať v práci. Keďže táto karta neponúka žiadnu funkciu, ktorá by bola potrebná pri používaní tohto návodu, ide o celkom drobnú nevýhodu v porovnaní s výhodami používania certifikátu Let's Encrypt.

Majte na pamäti: Arch Linux alebo iné prostredie operačného systému Linux (príkazy sa môžu mierne líšiť, ak vám napríklad viac vyhovuje Ubuntu, môžete získať nápovedu v tomto článku, ktorý opisuje podobný postup pre USG, pretože Ubuntu aj Raspbian sú založené na Debiane). Inštalácia prostredia Linuxu je mimo rámca tohto článku, pozrite si sprievodcu inštaláciou vami zvolenej distribúcie. V prípade Archu by však malo stačiť naštartovať Live CD a začať priamo z ramdisku.

Uistite sa, že váš Arch je aktuálny:

$ sudo pacman -Syu

• Nainštalujte certbot, klienta ACME, ktorý automatizuje proces vytvárania certifikátov:

$ sudo pacman -S certbot

• Uistite sa, že váš Arch dokáže počúvať na porte 80, prípadne presmerujte port 80 na váš počítač. Vytvorte certifikát pomocou nasledujúceho príkazu:

$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Poznámka: ak sa stretávate s chybou "challenge failed for domain", servery Let's Encrypt nedokážu dosiahnuť váš počítač. Dvakrát skontrolujte, či je povolené presmerovanie portov, a uistite sa, že na porte 80 vášho archu nie je práve spustená žiadna služba. Príslušnú službu môžete dočasne zastaviť pomocou príkazu:

• Po tomto kroku ju neváhajte opäť povoliť

$ sudo systemctl start httpd

• Teraz môžete presmerovať port 80 na váš NAS a tiež port 443, ak ste ho ešte nenastavili.

Nahratie certifikátov Let's Encrypt pre Zyxel NAS

Váš certifikát je pripravený na nahratie do vášho NAS, v tomto príklade použijeme shell klienta SFTP. Na dosiahnutie tohto cieľa je však k dispozícii široká škála nástrojov, ak uprednostňujete vizuálnejší prístup, pozrite si časť Riešenie problémov, kde sú opísané ďalšie možnosti obsluhy SFTP v Arch. Majte na pamäti, že ak sa rozhodnete presunúť certifikáty z ich chráneného úložiska, uistite sa, že sú následne vymazané alebo zabezpečené! Nikdy nezdieľajte svoj súkromný kľúč!

Pripojte sa k NAS s oprávneniami root, my tu použijeme sudo, inak by sme nemohli čítať certifikáty zo zabezpečeného úložiska:

$ sudo sftp root@[yournasaddress.zyxel.me]

Spustite nasledujúce príkazy na skopírovanie certifikátov na príslušné miesto. Počas tohto procesu vytvoríme zálohy, aby ste mohli obnoviť pôvodné certifikáty v prípade, že sa niečo pokazí. Buďte opatrní, pracujete pod oprávneniami root a každý príkaz bude spracovaný bez opýtania. Dvakrát skontrolujte preklepy. Názvy súborov a adresárov môžete dokončiť aj stlačením klávesu Tab po niekoľkých prvých písmenách, čo vám tiež pomôže predísť preklepom. Majte tiež na pamäti, že v NAS aj v Archi, prípadne v akomkoľvek inom Linuxe, sa pri názvoch rozlišujú malé a veľké písmená!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

To je všetko! SFTP môžete ukončiť pomocou príkazu exit a reštartovať NAS!

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Po reštarte sa môžete prihlásiť a overiť výsledky. Uistite sa, že je povolená funkcia SSL v Ovládacom paneli > Sieť > TCP/IP > Webový konfigurátor. Ak chcete, môžete na tejto karte vynútiť aj používanie HTTPS.

Obnovenie certifikátov Let's Encrypt pre Zyxel NAS

Certifikáty Let's Encrypt majú podľa návrhu pomerne krátku životnosť. Certifikáty sú platné 90 dní odo dňa vydania. Ak chcete certifikát obnoviť, musíte znovu presmerovať porty v systéme Arch Linux, znovu spustiť príkaz certbot a znovu ho nahrať na NAS.

Riešenie problémov

• Bežné problémy a ich riešenia: Niektorí používatelia sa stretli s problémami, keď NAS po pokuse o import certifikátu zobrazil hlásenie "500 Internal Server Error". Riešenia zahŕňali overenie formátu certifikátu a zabezpečenie správneho umiestnenia všetkých potrebných súborov v adresári NAS. Iní navrhovali skontrolovať konfiguráciu Apache a manuálne reštartovať webový server, aby sa tieto problémy vyriešili (Zyxel Community) (Zyxel Community).
• Automatizácia obnovy certifikátu: Ďalšou často diskutovanou témou bolo automatizované obnovovanie certifikátov Let's Encrypt. Používatelia zdieľali skripty, ktoré automaticky kopírujú obnovené certifikáty do NAS a reštartujú webové služby. To zahŕňa nastavenie nevolatilného úložiska pre koreňový adresár a konfiguráciu kľúčov SSH pre neinteraktívne prihlásenie (Zyxel Community).
• Certifikáty podpísané vlastným podpisom: V prípade tých, ktorí sa spoliehajú na certifikáty podpísané vlastným podpisom, sa niektorí stretli s problémami pri prístupe k webovému rozhraniu NAS po zapnutí HTTPS. Často sa odporúča dočasne vypnúť HTTPS prostredníctvom príkazov SSH, ak nemáte prístup k webovému rozhraniu, ako je podrobne uvedené v diskusii o úprave konfiguračných súborov Apache (Zyxel Community).
• Inštalácia a správa certifikátov: Mnohí používatelia mali problémy s inštaláciou certifikátov SSL na zariadeniach Zyxel NAS. Častým problémom je, že NAS sa po reštarte vráti na svoj vlastný certifikát. Na vyriešenie tohto problému používatelia navrhli odstrániť súbor CA.cer v adresári /etc/zyxel/cert, čo prinúti NAS použiť namiesto neho súbor default.cer. To pomohlo používateľom úspešne implementovať certifikáty od autorít ako Let's Encrypt (Zyxel Community) (Zyxel Community)
• Pre doménu [mydomain] sa mi zobrazuje hlásenie "challenge failed" (výzva zlyhala)!
  Táto chyba vo všeobecnosti znamená, že váš Arch nie je dostupný serveru CA na overenie pravosti. Skontrolujte, či je port 80 presmerovaný na váš počítač Arch a či na porte 80 už nie je spustená žiadna služba (apache?).
• Importoval som certifikáty, teraz môj NAS nereaguje ani na http, ani na https!
  Táto chyba znamená, že webový server NAS narazil na problém počas spúšťania, pravdepodobne ste si poplietli veci pri nahrávaní certifikátov do vášho NAS. Netreba však panikáriť, SSH/SFTP by malo stále fungovať. V prípade, že sa vám nedarí dosiahnuť funkčné podmienky, pozrite si tento článok.
• Naozaj sa mi nechce používať terminál na prácu so súbormi, máte nejaké iné návrhy?
  Ak je to pre vás pohodlnejšie, môžete na spustenie relácie SFTP s NAS na kopírovanie súborov použiť prieskumníka súborov Nautilus v prostredí Gnome.
  
  Ak nemáte nainštalované Gnome (možno ste na Live CD Archu), existuje ortodoxný príkazca Terminal s podporou SFTP s názvom Midnight Commander, ktorý by mal bežať aj na celkom holom nastavení Archu, pre inštaláciu a spustenie ako root zadajte:
  

  # find /etc/zyxel/cert -type f -delete
  # openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

  1

Len upozornenie: Zariadenia Zyxel NAS dosiahli koniec obdobia podpory. Chápeme, že to môže byť nepríjemné, takže aby sme vám pomohli, navštívte naše fórum alebo preskúmajte sekciu NAS v našej znalostnej databáze, kde nájdete všetky podrobnosti. Zoznam zariadení s ukončenou platnosťou a lehoty ich podpory nájdete aj na nasledujúcom odkaze.

• Koniec životnosti (EOL/EoL) / Koniec podpory (EOS/EoS)
• Fórum komunity Osobné cloudové úložisko

Veľmi pekne ďakujeme za pochopenie a trpezlivosť!