bg-tutorials

So installieren Sie ein ACME SSL-Zertifikat auf einem Synology NAS

In dieser Anleitung erfahren Sie, wie Sie ein ACME SSL-Zertifikat mit ACME + EAB-Anmeldeinformationen auf einem Synology NAS installieren und dann in Synology importieren. Sobald dies geschehen ist, wird Ihr NAS ein Zertifikat verwenden, dessen Automatisierung vollständig außerhalb des DSM (Disk Station Manager) erfolgt.

Synology Nas ACME SSL

Synology DSM ermöglicht den Import von SSL-Zertifikaten direkt über die grafische Benutzeroberfläche, aber für kommerzielle ACME-Zertifikate (von Anbietern wie Sectigo oder DigiCert) ist es am besten, sie extern mit acme.sh zu verwalten und sie anschließend zu importieren.


Bevor Sie beginnen

Stellen Sie sicher, dass Sie Folgendes haben:

  • Ein Domainname, der auf die öffentliche IP-Adresse Ihrer Synology verweist
  • DSM 7.x (für beste Kompatibilität wird 7.2 empfohlen) unterstützt den vollständigen Zertifikatsimport über die GUI.“
  • Ein externer Linux-Host, VPS oder lokaler Server, auf dem Sie Folgendes installieren können acme.sh
  • Zugriff auf die ACME-URL Ihres Zertifikatsanbieters und die EAB-Anmeldeinformationen (KID + HMAC)

Schritt 1: Installieren Sie acme.sh

Vor allem brauchen Sie den ACME-Client, der die Kommunikation mit Ihrer CA übernimmt.

Führen Sie diese Befehle auf Ihrem externen Host (Linux, BSD oder VPS) aus:

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Sie sollten die Version auf dem Bildschirm sehen. Das bedeutet, dass die Installation erfolgreich war.


Schritt 2: Registrieren Sie Ihr ACME-Konto bei der CA

Ihr kommerzieller Anbieter (z.B. Sectigo oder DigiCert) gibt Ihnen zwei Berechtigungsnachweise: eine EAB Key ID und einen HMAC Key. Diese autorisieren Ihren ACME-Client.

Sobald Sie diese haben, führen Sie diesen Befehl auf demselben Host aus:

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Ersetzen Sie die Platzhalter durch Ihre tatsächlichen Anmeldedaten.


Schritt 3: Ausstellen des Zertifikats mit DNS-Validierung

Stellen Sie nun Ihr Zertifikat mit DNS-Validierung aus – die sicherste und zuverlässigste Option für NAS-Geräte hinter NAT.

Beispiel (manueller DNS-Eintrag):

acme.sh --issue \
  -d yourdomain.com \
  --dns dns_manual \
  --server https://acme.sectigo.com/v2/OV

Sie werden dann aufgefordert, diesen DNS-Eintrag zu erstellen:

_acme-challenge.yourdomain.com  TXT  (token value)

Nach der Weitergabe (überprüfen Sie dies mit dig TXT _acme-challenge.yourdomain.com +short), führen Sie den Befehl erneut aus, um die Validierung abzuschließen.

Ihre Zertifikatsdateien werden gespeichert unter: ~/.acme.sh/yourdomain.com/.

In diesem Ordner finden Sie:

  • fullchain.cer – Zertifikat + Zwischenkette
  • yourdomain.com.key – privater Schlüssel
  • ca.cer – root/intermediate (falls separat bereitgestellt)

Schritt 4: Importieren Sie das Zertifikat in Synology

  1. Melden Sie sich bei DSM > Control Panel > Sicherheit > Zertifikat an.
  2. Klicken Sie auf Hinzufügen > Zertifikat importieren
  3. Laden Sie Ihren privaten Schlüssel und Ihr Zertifikat hoch (fullchain.cer)

Nach dem Import gehen Sie zu Einstellungen und weisen das Zertifikat zu:

  • DSM Web-Schnittstelle
  • File Station / Web Station
  • Umgekehrter Proxy
  • WebDAV / Laufwerk
  • SSL VPN (falls verwendet)

Ihr NAS verwendet nun das hochgeladene SSL-Zertifikat.


Schritt 5: Automatisierte Erneuerung und Synchronisierung mit DSM

Wenn Sie möchten, dass Ihr Synology NAS immer mit dem neuesten Zertifikat aktualisiert wird – ohne sich beim DSM anzumelden oder Dateien manuell hochzuladen -, können Sie acme.shmit dem integrierten synology_dsm deploy hook verwenden. Damit kann acme.sh erneuerte Zertifikate über HTTPS direkt in den DSM übertragen.

Hier sehen Sie, wie Sie es einrichten.

1. DSM-Anmeldeinformationen konfigurieren (einmalige Einrichtung)

Führen Sie von Ihrem externen Host (auf dem acme.sh installiert ist) aus:

export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"

Ersetzen Sie die Platzhalter durch Ihre Anmeldedaten. Diese Werte werden in Ihrer Shell-Sitzung gespeichert und acme.sh verwendet sie für eine sichere Verbindung.

2. Stellen Sie das Zertifikat auf DSM bereit

Nachdem ein Zertifikat ausgestellt oder erneuert wurde, stellen Sie es auf dem DSM bereit:

acme.sh --deploy \
  -d yourdomain.com \
  --deploy-hook synology_dsm

Dieser Befehl wird:

  • Verbinden Sie sich mit Ihrem NAS über HTTPS (Port 5001)
  • Laden Sie den privaten Schlüssel und die Zertifikatsdateien hoch
  • Ersetzen Sie das aktuelle Zertifikat in der Systemsteuerung von DSM
  • Starten Sie alle notwendigen Dienste neu (GUI, File Station, WebDAV, etc.)

Sie können die Änderung in der DSM > Systemsteuerung > Sicherheit > Zertifikat überprüfen.

3. Lassen Sie acme.sh alles erledigen (Auto-Renew + Auto-Deploy)

Die gute Nachricht: acme.sh installiert bereits einen Cronjob, der täglich ausgeführt wird. Wenn Ihr Zertifikat bald abläuft, wird er das tun:

  • Das Zertifikat automatisch erneuern
  • Lösen Sie den synology_dsm Einsatzhaken erneut aus.
  • Laden Sie das neue Zertifikat auf DSM hoch
  • DSM-Dienste im Hintergrund neu starten

Sobald dies eingerichtet ist, läuft alles auf Autopilot. Keine GUI-Interaktion erforderlich.


Allgemeine Fragen

Im Folgenden gehen wir auf die häufigsten Fragen ein, die Benutzer nach der Einrichtung stellen:

Kann ich acme.sh auf dem NAS selbst installieren und ausführen?

Technisch gesehen ja (über SSH oder Docker), aber DSM-Updates können Abhängigkeiten unterbrechen. Es ist sicherer, ACME von einem externen Host aus zu verwalten.

Aktualisiert Synology externe Zertifikate automatisch?

Nein, DSM zieht sie nicht automatisch. Verwenden Sie den Deploy-Hook oder ein geplantes Skript, um Updates nach jeder Erneuerung zu verteilen.

Kann ich Wildcard-Zertifikate verwenden?

Ja, ein Problem mit -d *.yourdomain.com mit DNS-Validierung. Sowohl Sectigo als auch DigiCert unterstützen Wildcards über ACME, wenn dies in Ihrem Profil aktiviert ist.


Letzte Worte

Dieses Setup verbindet die moderne kommerzielle ACME SSL-Automatisierung mit dem Ökosystem von Synology. Sie erhalten die Vorteile eines vertrauenswürdigen Zertifikats, einer vollständigen Kontrolle der Kette und externer Erneuerungen mit nur ein wenig Skripting, um alles miteinander zu verbinden. Wenn Sie es einmal gemacht haben, können Sie es ganz einfach für andere NAS-Geräte, Subdomänen oder Clients replizieren.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

A detailed image of a dragon in flight
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.