bg-tutorials

Como instalar um certificado ACME SSL em um Synology NAS

Neste guia, você aprenderá a instalar um certificado ACME SSL em um NAS Synology usando credenciais ACME + EAB e, em seguida, importá-lo para o Synology. Uma vez feito isso, o seu NAS estará executando um certificado com automação totalmente gerenciada fora do DSM (Disk Station Manager).

Synology Nas ACME SSL

O Synology DSM permite a importação de certificados SSL diretamente pela GUI, mas para certificados ACME comerciais (de provedores como Sectigo ou DigiCert), a melhor abordagem é gerenciá-los externamente com acme.sh e importá-los depois.


Antes de você começar

Certifique-se de que você tenha o seguinte:

  • Um nome de domínio apontado para o IP público de seu Synology
  • O DSM 7.x (recomenda-se o 7.2 para melhor compatibilidade) oferece suporte à importação completa de certificados por meio da GUI.”
  • Um host Linux externo, VPS ou servidor local onde você pode instalar acme.sh
  • Acesso ao URL ACME do seu provedor de certificados e às credenciais EAB (KID + HMAC)

Etapa 1: Instale o acme.sh

Antes de mais nada, você precisa do cliente ACME que cuidará da comunicação com sua CA.

Execute esses comandos em seu host externo (Linux, BSD ou VPS):

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Você deverá ver a versão impressa na tela. Isso significa que a instalação foi bem-sucedida.


Etapa 2: Registre sua conta ACME na CA

Seu provedor comercial (como Sectigo ou DigiCert) fornece a você duas credenciais: uma EAB Key ID e uma HMAC Key. Com elas, você autoriza o cliente ACME.

Quando você os tiver, execute este comando no mesmo host:

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Substitua os espaços reservados por suas credenciais reais.


Etapa 3: Emitir o certificado com validação de DNS

Agora, emita seu certificado usando a validação de DNS, a opção mais segura e confiável para dispositivos NAS com NAT.

Exemplo (entrada manual de DNS):

acme.sh --issue \
  -d yourdomain.com \
  --dns dns_manual \
  --server https://acme.sectigo.com/v2/OV

Você será solicitado a criar esse registro DNS:

_acme-challenge.yourdomain.com  TXT  (token value)

Após a propagação (verifique usando dig TXT _acme-challenge.yourdomain.com +short), execute novamente o comando para concluir a validação.

Seus arquivos de certificado serão salvos em: ~/.acme.sh/yourdomain.com/.

Dentro dessa pasta, você encontrará:

  • fullchain.cer – certificado + cadeia intermediária
  • yourdomain.com.key – chave privada
  • ca.cer – raiz/intermediário (se fornecido separadamente)

Etapa 4: Importar o certificado para o Synology

  1. Faça login no DSM > Painel de controle > Segurança > Certificado.
  2. Clique em Adicionar > Importar certificado
  3. Faça upload de sua chave privada e certificado (fullchain.cer)

Depois de importado, vá para Configurações e atribua o certificado a você:

  • Interface da Web do DSM
  • File Station / Web Station
  • Proxy reverso
  • WebDAV / Drive
  • VPN SSL (se usado)

Seu NAS agora usa o certificado SSL carregado.


Etapa 5: automatizar a renovação e sincronizar com o DSM

Se você quiser que o seu Synology NAS fique sempre atualizado com o certificado mais recente – sem fazer login no DSM ou carregar arquivos manualmente – você pode usar o gancho de implantação synology_dsm incorporado do acme.sh. acme.sh Isso permite que você envie certificados renovados diretamente para o DSM via HTTPS.

Veja como você pode configurá-lo.

1. Configurar credenciais do DSM (configuração única)

No host externo (onde o acme.sh está instalado), execute:

export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"

Substitua os espaços reservados por suas credenciais. Esses valores são armazenados em sua sessão de shell e o site acme.sh os utiliza para que você se conecte com segurança.

2. Implante o certificado no DSM

Depois que um certificado for emitido ou renovado, implemente-o no DSM usando:

acme.sh --deploy \
  -d yourdomain.com \
  --deploy-hook synology_dsm

Esse comando irá:

  • Conecte-se ao seu NAS por HTTPS (porta 5001)
  • Carregue a chave privada e os arquivos de certificado
  • Substitua o certificado atual no painel de controle do DSM
  • Reinicie todos os serviços necessários (GUI, File Station, WebDAV, etc.)

Você pode verificar a alteração no Painel de controle do DSM > > Security > Certificate.

3. Deixe o acme.sh cuidar de tudo (renovação automática e implantação automática)

Boas notícias: o site acme.sh já instala um cron job que é executado diariamente. Se o seu certificado estiver próximo da expiração, ele será executado:

  • Renovar o certificado automaticamente
  • Acione o gancho de implantação do synology_dsm novamente
  • Faça o upload do novo certificado para o DSM
  • Reinicie os serviços do DSM silenciosamente

Uma vez configurado, tudo é executado no piloto automático. Não é necessária nenhuma interação com a GUI.


Perguntas comuns

Abaixo, abordamos as perguntas mais comuns que os usuários fazem após a configuração:

Posso instalar e executar o acme.sh no próprio NAS?

Tecnicamente sim (via SSH ou Docker), mas as atualizações do DSM podem quebrar as dependências. É mais seguro gerenciar o ACME a partir de um host externo.

A Synology atualiza automaticamente os certificados externos?

Não, o DSM não os extrairá automaticamente. Use o hook de implementação ou um script agendado para enviar atualizações após cada renovação.

Posso usar certificados curinga?

Sim, problema com -d *.yourdomain.com usando a validação de DNS. A Sectigo e a DigiCert oferecem suporte a curingas via ACME quando ativadas em seu perfil.


Palavras finais

Com essa configuração, você faz a ponte entre a automação comercial moderna do ACME SSL e o ecossistema da Synology. Você obtém os benefícios de um certificado confiável, controle total da cadeia e renovações externas com apenas um pouco de script para unir tudo isso. Depois de ter feito isso uma vez, você pode replicá-lo facilmente para outros dispositivos NAS, subdomínios ou clientes.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.