bg-tutorials

Come installare un certificato SSL ACME su un NAS Synology

In questa guida scoprirai come installare un certificato SSL ACME su un NAS Synology utilizzando le credenziali ACME + EAB, quindi importarlo in Synology. Una volta fatto, il tuo NAS avrà un certificato con automazione gestita interamente al di fuori di DSM (Disk Station Manager).

Synology Nas ACME SSL

Synology DSM permette di importare i certificati SSL direttamente attraverso la GUI ma per i certificati ACME commerciali (di fornitori come Sectigo o DigiCert), l’approccio migliore è quello di gestirli esternamente con acme.sh e importarli successivamente.


Prima di iniziare

Assicurati di avere i seguenti elementi:

  • Un nome di dominio puntato all’IP pubblico di Synology
  • DSM 7.x (consigliato il 7.2 per una migliore compatibilità) supporta l’importazione completa dei certificati tramite GUI.”
  • Un host Linux esterno, un VPS o un server locale in cui puoi installare acme.sh
  • Accesso all’URL ACME e alle credenziali EAB del tuo fornitore di certificati (KID + HMAC)

Passo 1: Installare acme.sh

Prima di ogni altra cosa, hai bisogno del client ACME che gestirà la comunicazione con il tuo CA.

Esegui questi comandi sul tuo host esterno (Linux, BSD o VPS):

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Dovresti vedere la versione stampata sullo schermo. Questo significa che l’installazione è riuscita.


Fase 2: Registrazione dell’account ACME presso la CA

Il tuo fornitore commerciale (come Sectigo o DigiCert) ti fornisce due credenziali: un EAB Key ID e una HMAC Key. Queste autorizzano il tuo client ACME.

Una volta ottenuto, esegui questo comando dallo stesso host:

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Sostituisci i segnaposto con le tue credenziali reali.


Passo 3: Rilascio del certificato con convalida DNS

Ora rilascia il tuo certificato utilizzando la convalida DNS, l’opzione più sicura e affidabile per i dispositivi NAS dietro NAT.

Esempio (voce DNS manuale):

acme.sh --issue \
  -d yourdomain.com \
  --dns dns_manual \
  --server https://acme.sectigo.com/v2/OV

Ti verrà richiesto di creare questo record DNS:

_acme-challenge.yourdomain.com  TXT  (token value)

Dopo la propagazione (verifica con dig TXT _acme-challenge.yourdomain.com +short), esegui nuovamente il comando per terminare la convalida.

I file dei certificati saranno salvati sotto: ~/.acme.sh/yourdomain.com/.

All’interno di questa cartella troverai:

  • fullchain.cer – certificato + catena intermedia
  • yourdomain.com.key – chiave privata
  • ca.cer – root/intermedio (se fornito separatamente)

Passo 4: Importare il certificato in Synology

  1. Accedi a DSM > Pannello di controllo > Sicurezza > Certificato.
  2. Clicca su Aggiungi > Importa certificato
  3. Carica la tua chiave privata e il certificato (fullchain.cer)

Una volta importato, vai su Impostazioni e assegna il certificato a:

  • Interfaccia web DSM
  • File Station / Web Station
  • Proxy inverso
  • WebDAV / Unità
  • SSL VPN (se utilizzato)

Il NAS ora utilizza il certificato SSL caricato.


Passo 5: Automatizzare il rinnovo e sincronizzare con il DSM

Se vuoi che il tuo NAS Synology sia sempre aggiornato con il certificato più recente, senza dover accedere a DSM o caricare i file manualmente, puoi utilizzare l’hook di acme.sh‘built-in synology_dsm deploy. Questo permette a acme.sh di inserire i certificati rinnovati direttamente nel DSM tramite HTTPS.

Ecco come configurarlo.

1. Configurare le credenziali del DSM (impostazione una tantum)

Dal tuo host esterno (dove è installato acme.sh ), esegui:

export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"

Sostituisci i segnaposto con le tue credenziali. Questi valori vengono memorizzati nella tua sessione di shell e acme.sh li utilizza per connettersi in modo sicuro.

2. Distribuire il certificato al DSM

Dopo aver emesso o rinnovato un certificato, distribuiscilo nel DSM utilizzando:

acme.sh --deploy \
  -d yourdomain.com \
  --deploy-hook synology_dsm

Questo comando:

  • Connettiti al tuo NAS tramite HTTPS (porta 5001)
  • Carica i file della chiave privata e del certificato
  • Sostituisci il cert attuale nel Pannello di controllo del DSM
  • Riavvia tutti i servizi necessari (GUI, File Station, WebDAV, ecc.).

Puoi verificare la modifica in DSM > Pannello di controllo > Sicurezza > Certificato.

3. Lascia che acme.sh gestisca tutto (rinnovo automatico + distribuzione automatica)

Buone notizie: acme.sh installa già un cron job che viene eseguito quotidianamente. Se il tuo certificato è prossimo alla scadenza, lo farà:

  • Rinnova automaticamente il certificato
  • Attiva nuovamente il gancio di distribuzione di synology_dsm
  • Carica il nuovo certificato nel DSM
  • Riavvia i servizi DSM in modo silenzioso

Una volta configurato, tutto funziona con il pilota automatico. Non è necessaria alcuna interazione con la GUI.


Domande comuni

Qui di seguito elenchiamo le cose più comuni che gli utenti chiedono dopo la configurazione:

Posso installare ed eseguire acme.sh sul NAS stesso?

Tecnicamente sì (tramite SSH o Docker), ma gli aggiornamenti del DSM potrebbero interrompere le dipendenze. È più sicuro gestire ACME da un host esterno.

Synology aggiorna automaticamente i certificati esterni?

No, il DSM non li preleva automaticamente. Utilizza il deploy hook o uno script programmato per inviare gli aggiornamenti dopo ogni rinnovo.

Posso utilizzare certificati con caratteri jolly?

Sì, il problema è che -d *.yourdomain.com utilizza la convalida DNS. Sectigo e DigiCert supportano entrambi i caratteri jolly tramite ACME se abilitati nel tuo profilo.


Parole finali

Questa configurazione è un ponte tra la moderna automazione commerciale ACME SSL e l’ecosistema di Synology. Otterrai i vantaggi di un certificato affidabile, il controllo completo della catena e i rinnovi esterni con solo un po’ di script per unire il tutto. Dopo averla eseguita una volta, puoi replicarla facilmente per altri dispositivi NAS, sottodomini o client.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.