Neste guia, você aprenderá a instalar um certificado ACME SSL em um NAS Synology usando credenciais ACME + EAB e, em seguida, importá-lo para o Synology. Uma vez feito isso, o seu NAS estará executando um certificado com automação totalmente gerenciada fora do DSM (Disk Station Manager).

O Synology DSM permite a importação de certificados SSL diretamente pela GUI, mas para certificados ACME comerciais (de provedores como Sectigo ou DigiCert), a melhor abordagem é gerenciá-los externamente com acme.sh e importá-los depois.
Antes de você começar
Certifique-se de que você tenha o seguinte:
- Um nome de domínio apontado para o IP público de seu Synology
- O DSM 7.x (recomenda-se o 7.2 para melhor compatibilidade) oferece suporte à importação completa de certificados por meio da GUI.”
- Um host Linux externo, VPS ou servidor local onde você pode instalar
acme.sh - Acesso ao URL ACME do seu provedor de certificados e às credenciais EAB (KID + HMAC)
Etapa 1: Instale o acme.sh
Antes de mais nada, você precisa do cliente ACME que cuidará da comunicação com sua CA.
Execute esses comandos em seu host externo (Linux, BSD ou VPS):
curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version
Você deverá ver a versão impressa na tela. Isso significa que a instalação foi bem-sucedida.
Etapa 2: Registre sua conta ACME na CA
Seu provedor comercial (como Sectigo ou DigiCert) fornece a você duas credenciais: uma EAB Key ID e uma HMAC Key. Com elas, você autoriza o cliente ACME.
Quando você os tiver, execute este comando no mesmo host:
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
Substitua os espaços reservados por suas credenciais reais.
Etapa 3: Emitir o certificado com validação de DNS
Agora, emita seu certificado usando a validação de DNS, a opção mais segura e confiável para dispositivos NAS com NAT.
Exemplo (entrada manual de DNS):
acme.sh --issue \
-d yourdomain.com \
--dns dns_manual \
--server https://acme.sectigo.com/v2/OV
Você será solicitado a criar esse registro DNS:
_acme-challenge.yourdomain.com TXT (token value)
Após a propagação (verifique usando dig TXT _acme-challenge.yourdomain.com +short), execute novamente o comando para concluir a validação.
Seus arquivos de certificado serão salvos em: ~/.acme.sh/yourdomain.com/.
Dentro dessa pasta, você encontrará:
- fullchain.cer – certificado + cadeia intermediária
- yourdomain.com.key – chave privada
- ca.cer – raiz/intermediário (se fornecido separadamente)
Etapa 4: Importar o certificado para o Synology
- Faça login no DSM > Painel de controle > Segurança > Certificado.
- Clique em Adicionar > Importar certificado
- Faça upload de sua chave privada e certificado (fullchain.cer)
Depois de importado, vá para Configurações e atribua o certificado a você:
- Interface da Web do DSM
- File Station / Web Station
- Proxy reverso
- WebDAV / Drive
- VPN SSL (se usado)
Seu NAS agora usa o certificado SSL carregado.
Etapa 5: automatizar a renovação e sincronizar com o DSM
Se você quiser que o seu Synology NAS fique sempre atualizado com o certificado mais recente – sem fazer login no DSM ou carregar arquivos manualmente – você pode usar o gancho de implantação synology_dsm incorporado do acme.sh. acme.sh Isso permite que você envie certificados renovados diretamente para o DSM via HTTPS.
Veja como você pode configurá-lo.
1. Configurar credenciais do DSM (configuração única)
No host externo (onde o acme.sh está instalado), execute:
export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"
Substitua os espaços reservados por suas credenciais. Esses valores são armazenados em sua sessão de shell e o site acme.sh os utiliza para que você se conecte com segurança.
2. Implante o certificado no DSM
Depois que um certificado for emitido ou renovado, implemente-o no DSM usando:
acme.sh --deploy \
-d yourdomain.com \
--deploy-hook synology_dsm
Esse comando irá:
- Conecte-se ao seu NAS por HTTPS (porta 5001)
- Carregue a chave privada e os arquivos de certificado
- Substitua o certificado atual no painel de controle do DSM
- Reinicie todos os serviços necessários (GUI, File Station, WebDAV, etc.)
Você pode verificar a alteração no Painel de controle do DSM > > Security > Certificate.
3. Deixe o acme.sh cuidar de tudo (renovação automática e implantação automática)
Boas notícias: o site acme.sh já instala um cron job que é executado diariamente. Se o seu certificado estiver próximo da expiração, ele será executado:
- Renovar o certificado automaticamente
- Acione o gancho de implantação do
synology_dsmnovamente - Faça o upload do novo certificado para o DSM
- Reinicie os serviços do DSM silenciosamente
Uma vez configurado, tudo é executado no piloto automático. Não é necessária nenhuma interação com a GUI.
Perguntas comuns
Abaixo, abordamos as perguntas mais comuns que os usuários fazem após a configuração:
Posso instalar e executar o acme.sh no próprio NAS?
Tecnicamente sim (via SSH ou Docker), mas as atualizações do DSM podem quebrar as dependências. É mais seguro gerenciar o ACME a partir de um host externo.
A Synology atualiza automaticamente os certificados externos?
Não, o DSM não os extrairá automaticamente. Use o hook de implementação ou um script agendado para enviar atualizações após cada renovação.
Posso usar certificados curinga?
Sim, problema com -d *.yourdomain.com usando a validação de DNS. A Sectigo e a DigiCert oferecem suporte a curingas via ACME quando ativadas em seu perfil.
Palavras finais
Com essa configuração, você faz a ponte entre a automação comercial moderna do ACME SSL e o ecossistema da Synology. Você obtém os benefícios de um certificado confiável, controle total da cadeia e renovações externas com apenas um pouco de script para unir tudo isso. Depois de ter feito isso uma vez, você pode replicá-lo facilmente para outros dispositivos NAS, subdomínios ou clientes.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

