In questa guida scoprirai come installare un certificato SSL ACME su un NAS Synology utilizzando le credenziali ACME + EAB, quindi importarlo in Synology. Una volta fatto, il tuo NAS avrà un certificato con automazione gestita interamente al di fuori di DSM (Disk Station Manager).

Synology DSM permette di importare i certificati SSL direttamente attraverso la GUI ma per i certificati ACME commerciali (di fornitori come Sectigo o DigiCert), l’approccio migliore è quello di gestirli esternamente con acme.sh e importarli successivamente.
Prima di iniziare
Assicurati di avere i seguenti elementi:
- Un nome di dominio puntato all’IP pubblico di Synology
- DSM 7.x (consigliato il 7.2 per una migliore compatibilità) supporta l’importazione completa dei certificati tramite GUI.”
- Un host Linux esterno, un VPS o un server locale in cui puoi installare
acme.sh - Accesso all’URL ACME e alle credenziali EAB del tuo fornitore di certificati (KID + HMAC)
Passo 1: Installare acme.sh
Prima di ogni altra cosa, hai bisogno del client ACME che gestirà la comunicazione con il tuo CA.
Esegui questi comandi sul tuo host esterno (Linux, BSD o VPS):
curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version
Dovresti vedere la versione stampata sullo schermo. Questo significa che l’installazione è riuscita.
Fase 2: Registrazione dell’account ACME presso la CA
Il tuo fornitore commerciale (come Sectigo o DigiCert) ti fornisce due credenziali: un EAB Key ID e una HMAC Key. Queste autorizzano il tuo client ACME.
Una volta ottenuto, esegui questo comando dallo stesso host:
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
Sostituisci i segnaposto con le tue credenziali reali.
Passo 3: Rilascio del certificato con convalida DNS
Ora rilascia il tuo certificato utilizzando la convalida DNS, l’opzione più sicura e affidabile per i dispositivi NAS dietro NAT.
Esempio (voce DNS manuale):
acme.sh --issue \
-d yourdomain.com \
--dns dns_manual \
--server https://acme.sectigo.com/v2/OV
Ti verrà richiesto di creare questo record DNS:
_acme-challenge.yourdomain.com TXT (token value)
Dopo la propagazione (verifica con dig TXT _acme-challenge.yourdomain.com +short), esegui nuovamente il comando per terminare la convalida.
I file dei certificati saranno salvati sotto: ~/.acme.sh/yourdomain.com/.
All’interno di questa cartella troverai:
- fullchain.cer – certificato + catena intermedia
- yourdomain.com.key – chiave privata
- ca.cer – root/intermedio (se fornito separatamente)
Passo 4: Importare il certificato in Synology
- Accedi a DSM > Pannello di controllo > Sicurezza > Certificato.
- Clicca su Aggiungi > Importa certificato
- Carica la tua chiave privata e il certificato (fullchain.cer)
Una volta importato, vai su Impostazioni e assegna il certificato a:
- Interfaccia web DSM
- File Station / Web Station
- Proxy inverso
- WebDAV / Unità
- SSL VPN (se utilizzato)
Il NAS ora utilizza il certificato SSL caricato.
Passo 5: Automatizzare il rinnovo e sincronizzare con il DSM
Se vuoi che il tuo NAS Synology sia sempre aggiornato con il certificato più recente, senza dover accedere a DSM o caricare i file manualmente, puoi utilizzare l’hook di acme.sh‘built-in synology_dsm deploy. Questo permette a acme.sh di inserire i certificati rinnovati direttamente nel DSM tramite HTTPS.
Ecco come configurarlo.
1. Configurare le credenziali del DSM (impostazione una tantum)
Dal tuo host esterno (dove è installato acme.sh ), esegui:
export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"
Sostituisci i segnaposto con le tue credenziali. Questi valori vengono memorizzati nella tua sessione di shell e acme.sh li utilizza per connettersi in modo sicuro.
2. Distribuire il certificato al DSM
Dopo aver emesso o rinnovato un certificato, distribuiscilo nel DSM utilizzando:
acme.sh --deploy \
-d yourdomain.com \
--deploy-hook synology_dsm
Questo comando:
- Connettiti al tuo NAS tramite HTTPS (porta 5001)
- Carica i file della chiave privata e del certificato
- Sostituisci il cert attuale nel Pannello di controllo del DSM
- Riavvia tutti i servizi necessari (GUI, File Station, WebDAV, ecc.).
Puoi verificare la modifica in DSM > Pannello di controllo > Sicurezza > Certificato.
3. Lascia che acme.sh gestisca tutto (rinnovo automatico + distribuzione automatica)
Buone notizie: acme.sh installa già un cron job che viene eseguito quotidianamente. Se il tuo certificato è prossimo alla scadenza, lo farà:
- Rinnova automaticamente il certificato
- Attiva nuovamente il gancio di distribuzione di
synology_dsm - Carica il nuovo certificato nel DSM
- Riavvia i servizi DSM in modo silenzioso
Una volta configurato, tutto funziona con il pilota automatico. Non è necessaria alcuna interazione con la GUI.
Domande comuni
Qui di seguito elenchiamo le cose più comuni che gli utenti chiedono dopo la configurazione:
Posso installare ed eseguire acme.sh sul NAS stesso?
Tecnicamente sì (tramite SSH o Docker), ma gli aggiornamenti del DSM potrebbero interrompere le dipendenze. È più sicuro gestire ACME da un host esterno.
Synology aggiorna automaticamente i certificati esterni?
No, il DSM non li preleva automaticamente. Utilizza il deploy hook o uno script programmato per inviare gli aggiornamenti dopo ogni rinnovo.
Posso utilizzare certificati con caratteri jolly?
Sì, il problema è che -d *.yourdomain.com utilizza la convalida DNS. Sectigo e DigiCert supportano entrambi i caratteri jolly tramite ACME se abilitati nel tuo profilo.
Parole finali
Questa configurazione è un ponte tra la moderna automazione commerciale ACME SSL e l’ecosistema di Synology. Otterrai i vantaggi di un certificato affidabile, il controllo completo della catena e i rinnovi esterni con solo un po’ di script per unire il tutto. Dopo averla eseguita una volta, puoi replicarla facilmente per altri dispositivi NAS, sottodomini o client.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

