bg-tutorials

Cómo instalar un certificado SSL ACME en un NAS Synology

En esta guía, aprenderás a instalar un certificado SSL de ACME en un NAS de Synology utilizando credenciales de ACME + EAB y, a continuación, a importarlo a Synology. Una vez hecho esto, tu NAS ejecutará un certificado cuya automatización se gestionará completamente fuera de DSM (Disk Station Manager).

Synology Nas ACME SSL

Synology DSM permite importar certificados SSL directamente a través de la GUI, pero para los certificados ACME comerciales (de proveedores como Sectigo o DigiCert), lo mejor es gestionarlos externamente con acme.sh e importarlos después.


Antes de empezar

Asegúrate de que tienes lo siguiente:

  • Un nombre de dominio apuntado a la IP pública de tu Synology
  • DSM 7.x (se recomienda 7.2 para una mejor compatibilidad) admite la importación completa de certificados a través de la GUI.»
  • Un host Linux externo, VPS o servidor local donde puedas instalar acme.sh
  • Acceso a la URL ACME de tu proveedor de certificados y a las credenciales EAB (KID + HMAC)

Paso 1: Instala acme.sh

Antes que nada, necesitas el cliente ACME que se encargará de la comunicación con tu CA.

Ejecuta estos comandos en tu host externo (Linux, BSD o VPS):

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Deberías ver la versión impresa en pantalla. Eso significa que la instalación se ha realizado correctamente.


Paso 2: Registra tu cuenta ACME en la CA

Tu proveedor comercial (como Sectigo o DigiCert) te da dos credenciales: un ID de Clave EAB y una Clave HMAC. Éstas autorizan a tu cliente ACME.

Una vez que los tengas, ejecuta este comando desde el mismo host:

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Sustituye los marcadores de posición por tus credenciales reales.


Paso 3: Emitir el Certificado con Validación DNS

Ahora emite tu certificado utilizando la validación DNS, la opción más segura y fiable para dispositivos NAS detrás de NAT.

Ejemplo (entrada DNS manual):

acme.sh --issue \
  -d yourdomain.com \
  --dns dns_manual \
  --server https://acme.sectigo.com/v2/OV

Se te pedirá que crees este registro DNS:

_acme-challenge.yourdomain.com  TXT  (token value)

Tras la propagación (compruébalo con dig TXT _acme-challenge.yourdomain.com +short), vuelve a ejecutar el comando para finalizar la validación.

Tus archivos de certificado se guardarán en: ~/.acme.sh/yourdomain.com/.

Dentro de esa carpeta encontrarás:

  • fullchain.cer – certificado + cadena intermedia
  • tudominio.com.key – clave privada
  • ca.cer – raíz/intermedio (si se proporciona por separado)

Paso 4: Importa el certificado a Synology

  1. Entra en DSM > Panel de control > Seguridad > Certificado.
  2. Haz clic en Añadir > Importar certificado
  3. Sube tu clave privada y tu certificado (fullchain.cer)

Una vez importado, ve a Configuración y asigna el cert a:

  • Interfaz Web DSM
  • File Station / Web Station
  • Proxy inverso
  • WebDAV / Unidad
  • VPN SSL (si se utiliza)

Tu NAS utiliza ahora el certificado SSL cargado.


Paso 5: Automatizar la renovación y sincronizar con DSM

Si quieres que tu NAS de Synology esté siempre actualizado con el certificado más reciente, sin tener que iniciar sesión en DSM ni cargar archivos manualmente, puedes utilizar el gancho de despliegue synology_dsm integrado en acme.sh. Esto permite a acme.sh enviar certificados renovados directamente a DSM a través de HTTPS.

A continuación te explicamos cómo configurarlo.

1. Configurar las credenciales DSM (Configuración única)

Desde tu host externo (donde esté instalado acme.sh ), ejecuta

export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"

Sustituye los marcadores de posición por tus credenciales. Estos valores se almacenan en tu sesión shell, y acme.sh los utiliza para conectarse de forma segura.

2. Despliega el certificado en DSM

Una vez emitido o renovado un certificado, despliégalo en DSM utilizando:

acme.sh --deploy \
  -d yourdomain.com \
  --deploy-hook synology_dsm

Este comando lo hará:

  • Conéctate a tu NAS a través de HTTPS (puerto 5001)
  • Sube los archivos de la clave privada y el certificado
  • Sustituye el cert actual en el Panel de Control de DSM
  • Reinicia todos los servicios necesarios (GUI, File Station, WebDAV, etc.)

Puedes verificar el cambio en el Panel de control de DSM > > Seguridad > Certificado.

3. Deja que acme.sh se encargue de todo (Renovación automática + Despliegue automático)

Buenas noticias: acme.sh ya instala una tarea cron que se ejecuta diariamente. Si tu cert está próximo a caducar, lo hará:

  • Renovar el certificado automáticamente
  • Activa de nuevo el gancho de despliegue synology_dsm
  • Sube el nuevo cert a DSM
  • Reinicia los servicios DSM silenciosamente

Una vez configurado, todo funciona con el piloto automático. No se necesita interacción con la interfaz gráfica de usuario.


Preguntas frecuentes

A continuación cubrimos las cosas más comunes que preguntan los usuarios después de la configuración:

¿Puedo instalar y ejecutar acme.sh en el propio NAS?

Técnicamente sí (mediante SSH o Docker), pero las actualizaciones de DSM pueden romper las dependencias. Es más seguro gestionar ACME desde un host externo.

¿Actualiza Synology automáticamente los certificados externos?

No, DSM no las sacará automáticamente. Utiliza el gancho de despliegue o un script programado para enviar las actualizaciones después de cada renovación.

¿Puedo utilizar certificados comodín?

Sí, problema con -d *.yourdomain.com utilizando la validación DNS. Sectigo y DigiCert admiten comodines a través de ACME cuando están activados en tu perfil.


Palabras finales

Esta configuración une la moderna automatización comercial ACME SSL con el ecosistema de Synology. Obtendrás las ventajas de un certificado de confianza, control total de la cadena y renovaciones externas con sólo un poco de scripting para unirlo todo. Una vez que lo hayas hecho una vez, puedes replicarlo fácilmente para otros dispositivos NAS, subdominios o clientes.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Una imagen detallada de un dragón en vuelo
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.