bg-tutorials

Cum să instalați un certificat SSL ACME pe un NAS Synology

În acest ghid, veți învăța cum să instalați un certificat SSL ACME pe un NAS Synology utilizând acreditările ACME + EAB, apoi importați-l în Synology. Odată făcut, NAS-ul dvs. va rula un certificat cu automatizare gestionată în întregime în afara DSM (Disk Station Manager).

Synology Nas ACME SSL

Synology DSM permite importarea certificatelor SSL direct prin GUI, dar pentru certificatele ACME comerciale (de la furnizori precum Sectigo sau DigiCert), cea mai bună abordare este să le gestionați extern cu acme.sh și să le importați ulterior.


Înainte de a începe

Asigurați-vă că aveți următoarele:

  • Un nume de domeniu direcționat către IP-ul public al Synology
  • DSM 7.x (recomandat 7.2 pentru cea mai bună compatibilitate) acceptă importul complet de certificate prin intermediul interfeței grafice.”
  • O gazdă Linux externă, un VPS sau un server local unde puteți instala acme.sh
  • Acces la URL-ul ACME al furnizorului dvs. de certificate și la acreditările EAB (KID + HMAC)

Pasul 1: Instalarea acme.sh

Înainte de orice altceva, aveți nevoie de clientul ACME care se va ocupa de comunicarea cu AC.

Rulați aceste comenzi pe gazda dvs. externă (Linux, BSD sau VPS):

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Ar trebui să vedeți versiunea imprimată pe ecran. Aceasta înseamnă că instalarea a reușit.


Pasul 2: Înregistrați-vă contul ACME la AC

Furnizorul dvs. comercial (cum ar fi Sectigo sau DigiCert) vă oferă două acreditări: un ID cheie EAB și o cheie HMAC. Acestea vă autorizează clientul ACME.

Odată ce le aveți, executați această comandă din aceeași gazdă:

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Înlocuiți spațiile libere cu datele dvs. de identificare reale.


Pasul 3: Emiterea certificatului cu validare DNS

Acum emiteți certificatul utilizând validarea DNS – cea mai sigură și mai fiabilă opțiune pentru dispozitivele NAS din spatele NAT.

Exemplu (intrare DNS manuală):

acme.sh --issue \
  -d yourdomain.com \
  --dns dns_manual \
  --server https://acme.sectigo.com/v2/OV

Vi se va solicita să creați această înregistrare DNS:

_acme-challenge.yourdomain.com  TXT  (token value)

După propagare (verificați folosind dig TXT _acme-challenge.yourdomain.com +short), re-executați comanda pentru a finaliza validarea.

Fișierele dvs. de certificat vor fi salvate la adresa: ~/.acme.sh/yourdomain.com/.

În interiorul acestui dosar veți găsi:

  • fullchain.cer – certificat + lanț intermediar
  • yourdomain.com.key – cheie privată
  • ca.cer – rădăcină/intermediar (dacă este furnizat separat)

Pasul 4: Importați certificatul în Synology

  1. Conectați-vă la DSM > Control Panel > Security > Certificate.
  2. Faceți clic pe Add > Import Certificate
  3. Încărcați cheia dvs. privată și certificatul (fullchain.cer)

Odată importat, accesați Setări și atribuiți certificatul la:

  • Interfața web DSM
  • Stație fișier / Stație web
  • Reverse Proxy
  • WebDAV / Drive
  • SSL VPN (dacă este utilizat)

NAS-ul utilizează acum certificatul SSL încărcat.


Pasul 5: Automatizarea reînnoirii și sincronizarea cu DSM

Dacă doriți ca NAS-ul Synology să fie întotdeauna actualizat cu cel mai recent certificat – fără a vă conecta la DSM sau a încărca fișiere manual – puteți utiliza acme.sh‘s built-in synology_dsm deploy hook. Acest lucru permite acme.sh să împingă certificatele reînnoite direct în DSM prin HTTPS.

Iată cum să îl configurați.

1. Configurarea credențialelor DSM (configurare unică)

Din gazda externă (unde este instalat acme.sh ), executați:

export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"

Înlocuiți spațiile libere cu datele dvs. de identificare. Aceste valori sunt stocate în sesiunea dvs. shell, iar acme.sh le utilizează pentru a vă conecta în siguranță.

2. Deplasați certificatul în DSM

După ce un certificat este emis sau reînnoit, implementați-l în DSM utilizând:

acme.sh --deploy \
  -d yourdomain.com \
  --deploy-hook synology_dsm

Această comandă va:

  • Conectați-vă la NAS prin HTTPS (portul 5001)
  • Încărcați fișierele cheie privată și certificat
  • Înlocuiți cert curent în panoul de control al DSM
  • Reporniți toate serviciile necesare (GUI, File Station, WebDAV, etc.)

Puteți verifica modificarea în DSM > Control Panel > Security > Certificate.

3. Lăsați acme.sh să se ocupe de tot (Auto-Renew + Auto-Deploy)

Vești bune: acme.sh instalează deja un cron job care rulează zilnic. Dacă certificatul dvs. este aproape de expirare, o va face:

  • Reînnoirea automată a certificatului
  • Declanșați din nou cârligul de desfășurare synology_dsm
  • Încărcați noul certificat în DSM
  • Reporniți silențios serviciile DSM

Odată ce este configurat, totul funcționează pe pilot automat. Nu este necesară nicio interacțiune GUI.


Întrebări frecvente

Mai jos sunt prezentate cele mai frecvente întrebări adresate de utilizatori după configurare:

Pot instala și rula acme.sh chiar pe NAS?

Tehnic da (prin SSH sau Docker), dar actualizările DSM pot rupe dependențele. Este mai sigur să gestionați ACME de la o gazdă externă.

Synology actualizează automat certificatele externe?

Nu, DSM nu le va extrage automat. Utilizați cârligul de distribuire sau un script programat pentru a trimite actualizările după fiecare reînnoire.

Pot utiliza certificate wildcard?

Da, problema cu -d *.yourdomain.com folosind validarea DNS. Atât Sectigo, cât și DigiCert acceptă wildcard-uri prin ACME atunci când sunt activate în profilul dvs.


Cuvinte finale

Această configurare face legătura între automatizarea ACME SSL comercială modernă și ecosistemul Synology. Obțineți beneficiile unui certificat de încredere, controlul complet al lanțului și reînnoirile externe cu doar câteva scripturi pentru a le lega pe toate împreună. După ce ați făcut-o o dată, o puteți replica cu ușurință pentru alte dispozitive NAS, subdomenii sau clienți.

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

A detailed image of a dragon in flight

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.