Zyxel Network-Attached Storage NAS - Hur man importerar eller regenererar certifikat på Zyxel NAS-lagring

Den här artikeln ger en snabb handledning om hur man skapar nya självsignerade certifikat på en NAS för att lösa SSL-relaterade fel och en guide för att generera och importera globalt betrodda Let's Encrypt-certifikat i Arch Linux för att undvika felmeddelandet "Anslutningen är inte säker", vilket säkerställer sömlös och säker åtkomst till WebGUI.

Produktmeddelande om slutet av livscykeln: Vi beklagar att meddela att produkten "Zyxel NAS-enheter" har nått slutet av sin livslängd. Som en följd kan teknisk support för denna enhet vara begränsad. Var medveten om att all hantering eller användning av en enhet som redan är slut i livscykeln sker helt på egen risk. Du kan hitta en lista över föråldrade enheter, inklusive deras pensions- och supportslutdatum, på länken nedan. Denna sida erbjuder också den senaste uppdaterade versionen för din enhet: End of Life

Generera original självsignerade certifikat på Zyxel NAS

Öppna ett kommandofönster. För att ansluta, använd följande kommando med adressen till din NAS och godkänn anslutningen om du blir tillfrågad.

$ ssh root@192.168.1.33

Kör följande kommandon för att återställa certifikatsarkivet till standard (utlämna den första raden om du bara vill generera nya certifikat). Du kommer att bli ombedd att ange information om certifikatet. Standardvärden är tillräckliga, så tryck bara på enter tills du når kommandoprompten igen.

# find /etc/zyxel/cert -type f -delete
# openssl req -newkey rsa:2048 -nodes -keyout /etc/zyxel/cert/key/default_key.cer -x509 -days 3650 -out /etc/zyxel/cert/default.cer

Det är allt! Känn dig fri att avsluta kommandoprompten. Du kan också behöva starta om NAS för att ändringarna ska träda i kraft.

# exit

Skapa Let's Encrypt-certifikat för Zyxel NAS

Observera: Var vänlig notera att detta är en lösning, och som sådan har den en mindre bieffekt: när du klickar på SSL-fliken i Kontrollpanelen låser WebUI sig med fel 500. Om detta händer kan du uppdatera sidan och fortsätta ditt arbete. Eftersom denna flik inte erbjuder någon funktionalitet som behövs när du använder denna guide är detta en ganska liten nackdel jämfört med fördelarna med att använda Let's Encrypt-certifikatet. 

Se till att din Arch är uppdaterad:

$ sudo pacman -Syu
  • Installera certbot, en ACME-klient som automatiserar processen för certifikatskapande:
$ sudo pacman -S certbot
  • Se till att din Arch kan lyssna på port 80, vid behov vidarebefordra port 80 till din maskin. Skapa ett certifikat med följande kommando:
$ sudo certbot certonly --standalone --preferred-challenges http -d [yournasaddress.zyxel.me]

Observera: om du får ett felmeddelande "challenge failed for domain" betyder det att Let's Encrypt-servrarna inte kan nå din maskin. Kontrollera att portvidarebefordran är aktiverad och att ingen tjänst för närvarande körs på port 80 på din Arch. Du kan tillfälligt stoppa tjänsten med kommandot:

$ sudo systemctl stop httpd
  • Efter detta steg kan du gärna starta den igen
$ sudo systemctl start httpd
  • Du kan nu vidarebefordra port 80 till din NAS, och även port 443 om du inte redan har gjort det.

Ladda upp Let's Encrypt-certifikat för Zyxel NAS

Ditt certifikat är redo att laddas upp till din NAS, i detta exempel använder vi en shell-baserad SFTP-klient. Det finns dock ett brett utbud av verktyg tillgängliga för detta om du föredrar en mer visuell metod, se Avsnittet för felsökning, där andra alternativ för hantering av SFTP i Arch beskrivs. Var vänlig notera att om du väljer att flytta certifikaten från deras skyddade lagring, se till att de raderas eller skyddas efteråt! Dela aldrig din privata nyckel!

Anslut till din NAS med root-behörighet, vi använder sudo här, annars skulle vi inte kunna läsa certifikaten från den säkra lagringen:

$ sudo sftp root@[yournasaddress.zyxel.me]

Kör följande kommandon för att kopiera certifikaten till deras respektive plats. Vi kommer att göra säkerhetskopior under processen så att du kan återställa originalcertifikaten om något går fel. Var försiktig, du kör med root-behörighet och varje kommando kommer att utföras utan att fråga. Kontrollera stavfel noggrant. Du kan också slutföra fil- och katalognamn genom att trycka på Tab efter de första bokstäverna, detta hjälper också till att undvika stavfel. Tänk också på att namn är skiftlägeskänsliga både på NAS och Arch, eller annan Linux!

sftp> rename /etc/zyxel/cert/default.cer /etc/zyxel/cert/default.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/cert.pem /etc/zyxel/cert/default.cer
sftp> rename /etc/zyxel/cert/key/default_key.cer /etc/zyxel/cert/key/default_key.cer.bak
sftp> put /etc/letsencrypt/live/[yournasaddress.zyxel.me]/privkey.pem /etc/zyxel/cert/key/default_key.cer

Det är allt! Du kan avsluta SFTP med kommandot exit och starta om din NAS!

sftp> exit

Efter omstart kan du logga in och verifiera resultaten. Se till att SSL är aktiverat i Kontrollpanelen > Nätverk > TCP/IP > Web Configurator. Du kan också tvinga HTTPS-användning på denna flik om du önskar.
secure_NAS.png

Förnya Let's Encrypt-certifikat för Zyxel NAS

Let's Encrypt-certifikat är av design ganska kortlivade. Certifikaten är giltiga i 90 dagar från utfärdandedatumet. För att förnya ditt certifikat behöver du vidarebefordra portarna på din Arch Linux igen, köra certbot-kommandot på nytt och ladda upp det på din NAS igen.

Felsökning

  • Vanliga problem och lösningar: Vissa användare har stött på problem där NAS visade ett "500 Internal Server Error" efter att ha försökt importera ett certifikat. Lösningar inkluderade att verifiera certifikatets format och säkerställa att alla nödvändiga filer var korrekt placerade i NAS-katalogen. Andra föreslog att kontrollera Apache-konfigurationen och manuellt starta om webbservern för att lösa dessa problem​ (Zyxel Community)​​ (Zyxel Community)​.
  • Automatisera certifikatförnyelse: Automatisering av förnyelse av Let's Encrypt-certifikat var ett annat ofta diskuterat ämne. Användare delade skript som automatiskt kopierar de förnyade certifikaten till NAS och startar om webbservicen. Detta involverar att sätta upp icke-flyktigt lagringsutrymme för rotkatalogen och konfigurera SSH-nycklar för icke-interaktiv inloggning​ (Zyxel Community)​.
  • Självsignerade certifikat: För de som förlitar sig på självsignerade certifikat stötte vissa på problem med att komma åt NAS webbgränssnitt efter att HTTPS aktiverades. Det rekommenderas ofta att tillfälligt inaktivera HTTPS via SSH-kommandon om du inte kan komma åt webbgränssnittet, vilket beskrivs i en diskussion om att modifiera Apache-konfigurationsfiler​ (Zyxel Community)​.
  • Installera och hantera certifikat: Många användare upplevde problem med att installera SSL-certifikat på Zyxel NAS-enheter. Ett vanligt problem är att NAS återgår till sitt självsignerade certifikat efter omstart. För att åtgärda detta föreslog användare att ta bort filen CA.cer i katalogen /etc/zyxel/cert, vilket tvingar NAS att använda filen default.cer istället. Detta har hjälpt användare att framgångsrikt implementera certifikat från auktoriteter som Let's Encrypt​ (Zyxel Community)​​ (Zyxel Community)
  • Jag får "challenge failed" för domän [mydomain]!
    Detta fel betyder vanligtvis att din Arch inte kan nås av CA:s server för att verifiera äkthet. Kontrollera att port 80 är vidarebefordrad till din Arch-maskin och att ingen tjänst redan körs på port 80 (apache?).
  • Jag har importerat certifikat, nu svarar inte min NAS på varken http eller https!
    Detta indikerar att NAS webbserver stötte på ett problem vid uppstart, mest troligt har du blandat ihop saker när du laddade upp certifikaten till din NAS. Men det är ingen anledning att få panik, SSH/SFTP bör fortfarande fungera.
  • Jag känner mig inte bekväm med att använda Terminal för filhantering, några andra förslag?
    Om det är bekvämare för dig kan du använda Gnomes Nautilus filutforskare för att köra SFTP-sessionen med NAS för att kopiera filer.
    nautilus.png
    Om du inte har Gnome installerat (kanske använder du Archs Live CD), finns det en terminalbaserad orthodox filhanterare med SFTP-stöd som heter Midnight Commander som bör fungera även på en ganska minimal Arch-installation. För att installera och köra som root, skriv:

    $ sudo pacman -S mc
    $ sudo mc

En liten påminnelse: Zyxel NAS-enheter har nått slutet på deras supportperiod. Vi förstår att detta kan vara besvärligt, så för att hjälpa dig, besök gärna vårt forum eller utforska NAS-sektionen i vår kunskapsbas för all information. Du kan också hitta en lista över föråldrade enheter och deras supporttidslinjer på länken nedan.

Tack så mycket för din förståelse och tålamod!

Artiklar i detta avsnitt

Var denna artikel till hjälp?
1 av 5 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.