bg-tutorials

Comment installer un certificat SSL ACME sur un NAS Synology

Dans ce guide, vous apprendrez à installer un certificat SSL ACME sur un NAS Synology en utilisant les informations d’identification ACME + EAB, puis à l’importer dans Synology. Une fois cela fait, votre NAS utilisera un certificat dont l’automatisation sera entièrement gérée en dehors de DSM (Disk Station Manager).

Synology Nas ACME SSL

Synology DSM permet d’importer des certificats SSL directement via l’interface graphique, mais pour les certificats ACME commerciaux (de fournisseurs comme Sectigo ou DigiCert), la meilleure approche est de les gérer en externe avec acme.sh et de les importer par la suite.


Avant de commencer

Assurez-vous que vous disposez des éléments suivants :

  • Un nom de domaine pointé vers l’IP publique de votre Synology
  • DSM 7.x (7.2 recommandé pour une meilleure compatibilité) prend en charge l’importation complète de certificats via l’interface graphique ».
  • Un hôte Linux externe, un VPS ou un serveur local où vous pouvez installer acme.sh
  • Accès à l’URL ACME de votre fournisseur de certificats et aux informations d’identification EAB (KID + HMAC)

Étape 1 : Installer acme.sh

Avant toute chose, vous avez besoin du client ACME qui assurera la communication avec votre AC.

Exécutez ces commandes sur votre hôte externe (Linux, BSD ou VPS) :

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Vous devriez voir la version imprimée à l’écran. Cela signifie que l’installation a réussi.


Étape 2 : Enregistrer votre compte ACME auprès de l’AC

Votre fournisseur commercial (comme Sectigo ou DigiCert) vous donne deux références : un identifiant de clé EAB et une clé HMAC. Celles-ci autorisent votre client ACME.

Une fois que vous les avez, exécutez cette commande à partir du même hôte :

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Remplacez les espaces réservés par vos données d’identification réelles.


Étape 3 : Émettre le certificat avec validation DNS

Émettez maintenant votre certificat en utilisant la validation DNS – l’option la plus sûre et la plus fiable pour les périphériques NAS derrière un NAT.

Exemple (entrée DNS manuelle) :

acme.sh --issue \
  -d yourdomain.com \
  --dns dns_manual \
  --server https://acme.sectigo.com/v2/OV

Vous serez invité à créer cet enregistrement DNS :

_acme-challenge.yourdomain.com  TXT  (token value)

Après la propagation (vérifiée à l’aide de dig TXT _acme-challenge.yourdomain.com +short), exécutez à nouveau la commande pour terminer la validation.

Vos fichiers de certificats seront enregistrés sous : ~/.acme.sh/yourdomain.com/.

Dans ce dossier, vous trouverez

  • fullchain.cer – certificat + chaîne intermédiaire
  • yourdomain.com.key – clé privée
  • ca.cer – racine/intermédiaire (si fourni séparément)

Étape 4 : Importer le certificat dans le Synology

  1. Connectez-vous à DSM > Control Panel > Security > Certificate.
  2. Cliquez sur Ajouter > Importer un certificat
  3. Téléchargez votre clé privée et votre certificat (fullchain.cer)

Une fois importé, allez dans Paramètres et attribuez le certificat à :

  • Interface web du DSM
  • Station de fichiers / Station Web
  • Proxy inversé
  • WebDAV / Drive
  • VPN SSL (si utilisé)

Votre NAS utilise maintenant le certificat SSL téléchargé.


Étape 5 : Automatisation du renouvellement et synchronisation avec le DSM

Si vous voulez que votre Synology NAS soit toujours mis à jour avec le dernier certificat – sans vous connecter à DSM ou télécharger des fichiers manuellement – vous pouvez utiliser acme.sh‘s built-in synology_dsm deploy hook. Cela permet à acme.sh de pousser les nouveaux certificats directement dans le DSM via HTTPS.

Voici comment procéder.

1. Configurer les identifiants DSM (configuration unique)

Depuis votre hôte externe (où acme.sh est installé), exécutez :

export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"

Remplacez les espaces réservés par vos informations d’identification. Ces valeurs sont stockées dans votre session shell et acme.sh les utilise pour se connecter en toute sécurité.

2. Déployez le certificat dans le DSM

Après l’émission ou le renouvellement d’un certificat, déployez-le dans le DSM à l’aide de la fonction :

acme.sh --deploy \
  -d yourdomain.com \
  --deploy-hook synology_dsm

Cette commande va :

  • Connectez-vous à votre NAS via HTTPS (port 5001)
  • Téléchargez les fichiers de la clé privée et du certificat
  • Remplacer le cert actuel dans le panneau de contrôle de DSM
  • Redémarrez tous les services nécessaires (GUI, File Station, WebDAV, etc.).

Vous pouvez vérifier le changement dans le DSM > Control Panel > Security > Certificate.

3. Laissez acme.sh s’occuper de tout (Auto-Renew + Auto-Deploy)

Bonne nouvelle : acme.sh installe déjà une tâche cron qui s’exécute quotidiennement. Si votre certificat est proche de l’expiration, il le fera :

  • Renouveler le certificat automatiquement
  • Déclenchez à nouveau le crochet de déploiement synology_dsm
  • Téléchargez le nouveau certificat dans DSM
  • Redémarrage silencieux des services DSM

Une fois cette configuration mise en place, tout fonctionne en pilote automatique. Aucune interaction avec l’interface graphique n’est nécessaire.


Questions courantes

Vous trouverez ci-dessous les questions les plus fréquemment posées par les utilisateurs après l’installation :

Puis-je installer et exécuter acme.sh sur le NAS lui-même ?

Techniquement oui (via SSH ou Docker), mais les mises à jour DSM peuvent rompre les dépendances. Il est plus sûr de gérer ACME depuis un hôte externe.

Synology met-il automatiquement à jour les certificats externes ?

Non, DSM ne les récupère pas automatiquement. Utilisez le crochet de déploiement ou un script programmé pour pousser les mises à jour après chaque renouvellement.

Puis-je utiliser des certificats de type « wildcard » ?

Oui, problème avec -d *.yourdomain.com qui utilise la validation DNS. Sectigo et DigiCert prennent tous deux en charge les caractères génériques via ACME lorsqu’ils sont activés dans votre profil.


Derniers mots

Cette configuration fait le lien entre l’automatisation SSL ACME commerciale moderne et l’écosystème de Synology. Vous bénéficiez d’un certificat de confiance, d’un contrôle complet de la chaîne et de renouvellements externes avec juste un peu de script pour lier le tout. Une fois que vous l’avez fait une fois, vous pouvez le répliquer facilement pour d’autres périphériques NAS, sous-domaines ou clients.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Image détaillée d'un dragon en vol
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.