En esta guía, aprenderás a instalar un certificado SSL de ACME en un NAS de Synology utilizando credenciales de ACME + EAB y, a continuación, a importarlo a Synology. Una vez hecho esto, tu NAS ejecutará un certificado cuya automatización se gestionará completamente fuera de DSM (Disk Station Manager).

Synology DSM permite importar certificados SSL directamente a través de la GUI, pero para los certificados ACME comerciales (de proveedores como Sectigo o DigiCert), lo mejor es gestionarlos externamente con acme.sh e importarlos después.
Antes de empezar
Asegúrate de que tienes lo siguiente:
- Un nombre de dominio apuntado a la IP pública de tu Synology
- DSM 7.x (se recomienda 7.2 para una mejor compatibilidad) admite la importación completa de certificados a través de la GUI.»
- Un host Linux externo, VPS o servidor local donde puedas instalar
acme.sh - Acceso a la URL ACME de tu proveedor de certificados y a las credenciales EAB (KID + HMAC)
Paso 1: Instala acme.sh
Antes que nada, necesitas el cliente ACME que se encargará de la comunicación con tu CA.
Ejecuta estos comandos en tu host externo (Linux, BSD o VPS):
curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version
Deberías ver la versión impresa en pantalla. Eso significa que la instalación se ha realizado correctamente.
Paso 2: Registra tu cuenta ACME en la CA
Tu proveedor comercial (como Sectigo o DigiCert) te da dos credenciales: un ID de Clave EAB y una Clave HMAC. Éstas autorizan a tu cliente ACME.
Una vez que los tengas, ejecuta este comando desde el mismo host:
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
Sustituye los marcadores de posición por tus credenciales reales.
Paso 3: Emitir el Certificado con Validación DNS
Ahora emite tu certificado utilizando la validación DNS, la opción más segura y fiable para dispositivos NAS detrás de NAT.
Ejemplo (entrada DNS manual):
acme.sh --issue \
-d yourdomain.com \
--dns dns_manual \
--server https://acme.sectigo.com/v2/OV
Se te pedirá que crees este registro DNS:
_acme-challenge.yourdomain.com TXT (token value)
Tras la propagación (compruébalo con dig TXT _acme-challenge.yourdomain.com +short), vuelve a ejecutar el comando para finalizar la validación.
Tus archivos de certificado se guardarán en: ~/.acme.sh/yourdomain.com/.
Dentro de esa carpeta encontrarás:
- fullchain.cer – certificado + cadena intermedia
- tudominio.com.key – clave privada
- ca.cer – raíz/intermedio (si se proporciona por separado)
Paso 4: Importa el certificado a Synology
- Entra en DSM > Panel de control > Seguridad > Certificado.
- Haz clic en Añadir > Importar certificado
- Sube tu clave privada y tu certificado (fullchain.cer)
Una vez importado, ve a Configuración y asigna el cert a:
- Interfaz Web DSM
- File Station / Web Station
- Proxy inverso
- WebDAV / Unidad
- VPN SSL (si se utiliza)
Tu NAS utiliza ahora el certificado SSL cargado.
Paso 5: Automatizar la renovación y sincronizar con DSM
Si quieres que tu NAS de Synology esté siempre actualizado con el certificado más reciente, sin tener que iniciar sesión en DSM ni cargar archivos manualmente, puedes utilizar el gancho de despliegue synology_dsm integrado en acme.sh. Esto permite a acme.sh enviar certificados renovados directamente a DSM a través de HTTPS.
A continuación te explicamos cómo configurarlo.
1. Configurar las credenciales DSM (Configuración única)
Desde tu host externo (donde esté instalado acme.sh ), ejecuta
export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"
Sustituye los marcadores de posición por tus credenciales. Estos valores se almacenan en tu sesión shell, y acme.sh los utiliza para conectarse de forma segura.
2. Despliega el certificado en DSM
Una vez emitido o renovado un certificado, despliégalo en DSM utilizando:
acme.sh --deploy \
-d yourdomain.com \
--deploy-hook synology_dsm
Este comando lo hará:
- Conéctate a tu NAS a través de HTTPS (puerto 5001)
- Sube los archivos de la clave privada y el certificado
- Sustituye el cert actual en el Panel de Control de DSM
- Reinicia todos los servicios necesarios (GUI, File Station, WebDAV, etc.)
Puedes verificar el cambio en el Panel de control de DSM > > Seguridad > Certificado.
3. Deja que acme.sh se encargue de todo (Renovación automática + Despliegue automático)
Buenas noticias: acme.sh ya instala una tarea cron que se ejecuta diariamente. Si tu cert está próximo a caducar, lo hará:
- Renovar el certificado automáticamente
- Activa de nuevo el gancho de despliegue
synology_dsm - Sube el nuevo cert a DSM
- Reinicia los servicios DSM silenciosamente
Una vez configurado, todo funciona con el piloto automático. No se necesita interacción con la interfaz gráfica de usuario.
Preguntas frecuentes
A continuación cubrimos las cosas más comunes que preguntan los usuarios después de la configuración:
¿Puedo instalar y ejecutar acme.sh en el propio NAS?
Técnicamente sí (mediante SSH o Docker), pero las actualizaciones de DSM pueden romper las dependencias. Es más seguro gestionar ACME desde un host externo.
¿Actualiza Synology automáticamente los certificados externos?
No, DSM no las sacará automáticamente. Utiliza el gancho de despliegue o un script programado para enviar las actualizaciones después de cada renovación.
¿Puedo utilizar certificados comodín?
Sí, problema con -d *.yourdomain.com utilizando la validación DNS. Sectigo y DigiCert admiten comodines a través de ACME cuando están activados en tu perfil.
Palabras finales
Esta configuración une la moderna automatización comercial ACME SSL con el ecosistema de Synology. Obtendrás las ventajas de un certificado de confianza, control total de la cadena y renovaciones externas con sólo un poco de scripting para unirlo todo. Una vez que lo hayas hecho una vez, puedes replicarlo fácilmente para otros dispositivos NAS, subdominios o clientes.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

