Vytvorenie certifikátov Let's Encrypt pre Zyxel NAS
Poznámka: Majte prosím na pamäti, že ide o obchádzku, ktorá má jeden menší vedľajší efekt: keď kliknete na kartu SSL v Ovládacom paneli, WebUI sa zablokuje s chybou 500. Ak k tomu dôjde, môžete stránku obnoviť a pokračovať v práci. Keďže táto karta neponúka žiadnu funkčnosť potrebnú pri používaní tohto návodu, ide o pomerne malú nevýhodu v porovnaní s výhodami používania certifikátu Let's Encrypt.
Uistite sa, že váš Arch je aktuálny:
$ sudo pacman -Syu- Nainštalujte certbot, ACME klienta, ktorý automatizuje proces vytvárania certifikátov:
$ sudo pacman -S certbot- Uistite sa, že váš Arch počúva na porte 80, v prípade potreby presmerujte port 80 na váš počítač. Vytvorte certifikát pomocou nasledujúceho príkazu:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]Poznámka: ak sa vám zobrazuje chyba „challenge failed for domain“, servery Let's Encrypt sa nedokážu dostať k vášmu počítaču. Skontrolujte, či je povolené presmerovanie portu a či na porte 80 vášho Archu momentálne nebeží žiadna služba. Službu môžete dočasne zastaviť pomocou príkazu:
$ sudo systemctl stop httpd- Po tomto kroku ju môžete opäť povoliť
$ sudo systemctl start httpd- Teraz môžete presmerovať port 80 na váš NAS, a tiež port 443, ak ste tak ešte neurobili.
Nahranie certifikátov Let's Encrypt na Zyxel NAS
Váš certifikát je pripravený na nahranie do vášho NAS, v tomto príklade použijeme shellový SFTP klient. Existuje však množstvo nástrojov, ktoré umožňujú túto operáciu vykonať vizuálnejším spôsobom, pozrite si sekciu Riešenie problémov, kde sú popísané ďalšie možnosti práce so SFTP v Archu. Majte prosím na pamäti, že ak sa rozhodnete presunúť certifikáty z ich chráneného úložiska, uistite sa, že ich následne vymažete alebo zabezpečíte! Nikdy nesdielajte svoj súkromný kľúč!
Pripojte sa k vášmu NAS s právami root, tu použijeme sudo, inak by sme nemohli čítať certifikáty z chráneného úložiska:
$ sudo sftp root@[yournasaddress.zyxel.me]Spustite nasledujúce príkazy na skopírovanie certifikátov na ich príslušné miesta. Počas procesu vytvoríme zálohy, aby ste mohli v prípade problémov obnoviť pôvodné certifikáty. Buďte opatrní, pracujete s právami root a každý príkaz sa vykoná bez ďalšieho potvrdenia. Skontrolujte si pravopis. Môžete tiež dokončiť názvy súborov a adresárov stlačením klávesy Tab po zadaní niekoľkých prvých písmen, čo pomôže predísť preklepom. Tiež majte na pamäti, že názvy sú citlivé na veľkosť písmen na NAS aj Archu, rovnako ako na iných Linux systémoch!
sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cerHotovo! Môžete ukončiť SFTP príkazom exit a reštartovať NAS!
sftp> exitPo reštarte sa môžete prihlásiť a overiť výsledky. Skontrolujte, či je SSL povolený v Ovládacom paneli > Sieť > TCP/IP > Web Configurator. Na tejto karte môžete tiež vynútiť používanie HTTPS, ak si to želáte.
Obnova certifikátov Let's Encrypt pre Zyxel NAS
Certifikáty Let's Encrypt sú z princípu krátkodobé. Platnosť certifikátu je 90 dní od dátumu vydania. Na obnovenie certifikátu je potrebné opäť presmerovať porty na vašom Arch Linuxe, znovu spustiť príkaz certbot a certifikát opäť nahrať na váš NAS.
Riešenie problémov
- Bežné problémy a riešenia: Niektorí používatelia mali problém, keď NAS zobrazoval „500 Internal Server Error“ po pokuse o import certifikátu. Riešenia zahŕňali overenie formátu certifikátu a zabezpečenie, že všetky potrebné súbory sú správne umiestnené v adresári NAS. Iní navrhovali skontrolovať konfiguráciu Apache a manuálne reštartovať webový server na vyriešenie týchto problémov (Zyxel Community) (Zyxel Community).
- Automatizácia obnovy certifikátov: Automatizácia obnovy certifikátov Let's Encrypt bola ďalšou často diskutovanou témou. Používatelia zdieľali skripty, ktoré automaticky kopírujú obnovené certifikáty na NAS a reštartujú webové služby. To zahŕňa nastavenie nevolatilného úložiska pre koreňový adresár a konfiguráciu SSH kľúčov pre neinteraktívne prihlásenie (Zyxel Community).
- Vlastnoručne podpísané certifikáty: Používatelia, ktorí sa spoliehajú na vlastnoručne podpísané certifikáty, niekedy zaznamenali problémy s prístupom k webovému rozhraniu NAS po povolení HTTPS. Často sa odporúča dočasne vypnúť HTTPS cez SSH príkazy, ak nemôžete získať prístup k webovému rozhraniu, ako je podrobne popísané v diskusii o úprave konfiguračných súborov Apache (Zyxel Community).
-
Inštalácia a správa certifikátov: Mnohí používatelia mali problémy s inštaláciou SSL certifikátov na zariadeniach Zyxel NAS. Bežným problémom bolo, že NAS po reštarte prešiel späť na vlastnoručne podpísaný certifikát. Na vyriešenie tohto problému používatelia navrhovali vymazať súbor
CA.cerv adresári/etc/zyxel/cert, čo donúti NAS použiť namiesto toho súbordefault.cer. Toto pomohlo používateľom úspešne implementovať certifikáty od autorít ako Let's Encrypt (Zyxel Community) (Zyxel Community) -
Vyskytla sa chyba „challenge failed“ pre doménu [mydomain]!
Táto chyba zvyčajne znamená, že váš Arch nie je dostupný pre server CA na overenie autentickosti. Skontrolujte, či je port 80 presmerovaný na váš Arch stroj a či na porte 80 už nebeží nejaká služba (apache?). -
Importoval som certifikáty, teraz môj NAS nereaguje ani na http, ani na https!
Toto znamená, že webový server NAS narazil na problém počas spúšťania, pravdepodobne ste pri nahrávaní certifikátov do NAS niečo pomýlili. Nemusíte však panikáriť, SSH/SFTP by mali stále fungovať. -
Naozaj sa mi nechce používať Terminál na prácu so súbormi, máte nejaké iné návrhy?
Ak vám je pohodlnejšie, môžete použiť súborový prehliadač Gnome Nautilus na spustenie SFTP relácie s NAS na kopírovanie súborov.
Ak nemáte nainštalovaný Gnome (možno používate Arch Live CD), existuje terminálový ortodoxný správca s podporou SFTP nazývaný Midnight Commander, ktorý by mal bežať aj na veľmi základnej inštalácii Archu. Na inštaláciu a spustenie ako root zadajte:$ sudo pacman -S mc $ sudo mc
Iba upozornenie: Zariadenia Zyxel NAS dosiahli koniec obdobia podpory. Chápeme, že to môže byť nepríjemné, preto vám odporúčame navštíviť naše fórum alebo preskúmať sekciu NAS v našej znalostnej báze pre všetky podrobnosti. Zoznam zastaraných zariadení a ich časové rámce podpory nájdete tiež na nasledujúcom odkaze.
Ďakujeme veľmi pekne za vaše pochopenie a trpezlivosť!
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.