bg-tutorials

Как установить SSL-сертификат ACME на NAS Synology

В этом руководстве Вы узнаете, как установить SSL-сертификат ACME на NAS Synology, используя учетные данные ACME + EAB, а затем импортировать его в Synology. После этого на Вашем NAS будет работать сертификат, автоматизация которого будет осуществляться полностью за пределами DSM (Disk Station Manager).

Synology Nas ACME SSL

Synology DSM позволяет импортировать SSL-сертификаты непосредственно через графический интерфейс, но для коммерческих сертификатов ACME (от таких провайдеров, как Sectigo или DigiCert) лучше всего управлять ими извне с помощью файла acme.sh и импортировать их после этого.


Прежде чем начать

Убедитесь, что у Вас есть следующее:

  • Доменное имя, указывающее на публичный IP-адрес Вашего Synology
  • DSM 7.x (для лучшей совместимости рекомендуется 7.2) поддерживает полный импорт сертификатов через графический интерфейс.»
  • Внешний Linux-хост, VPS или локальный сервер, на котором Вы можете установить acme.sh
  • Доступ к URL ACME Вашего поставщика сертификатов и учетным данным EAB (KID + HMAC)

Шаг 1: Установите файл acme.sh

Прежде всего, Вам нужен клиент ACME, который будет поддерживать связь с Вашим ЦС.

Выполните эти команды на Вашем внешнем хосте (Linux, BSD или VPS):

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Вы должны увидеть на экране напечатанную версию. Это означает, что установка прошла успешно.


Шаг 2: Зарегистрируйте свою учетную запись ACME в центре сертификации

Ваш коммерческий провайдер (например, Sectigo или DigiCert) выдает Вам две учетные записи: идентификатор ключа EAB и ключ HMAC. Они авторизуют Вашего клиента ACME.

Как только Вы их получите, выполните эту команду с того же хоста:

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Замените заполнители на Ваши настоящие учетные данные.


Шаг 3: Выпустите сертификат с проверкой DNS

Теперь выпустите сертификат, используя проверку DNS — самый безопасный и надежный вариант для устройств NAS за NAT.

Пример (запись DNS вручную):

acme.sh --issue \
  -d yourdomain.com \
  --dns dns_manual \
  --server https://acme.sectigo.com/v2/OV

Вам будет предложено создать эту DNS-запись:

_acme-challenge.yourdomain.com  TXT  (token value)

После распространения (проверьте с помощью dig TXT _acme-challenge.yourdomain.com +short), повторно выполните команду, чтобы завершить проверку.

Ваши файлы сертификатов будут сохранены в каталоге: ~/.acme.sh/yourdomain.com/.

Внутри этой папки Вы найдете:

  • fullchain.cer — сертификат + промежуточная цепочка
  • yourdomain.com.key — закрытый ключ
  • ca.cer — root/intermediate (если предоставляется отдельно)

Шаг 4: Импортируйте сертификат в Synology

  1. Войдите в DSM > Панель управления > Безопасность > Сертификат.
  2. Нажмите Добавить > Импорт сертификата.
  3. Загрузите Ваш закрытый ключ и церификат (fullchain.cer).

После импорта перейдите в Настройки и назначьте сертификат:

  • Веб-интерфейс DSM
  • Файловая станция / Веб-станция
  • Обратный прокси
  • WebDAV / Drive
  • SSL VPN (если используется)

Теперь Ваш NAS использует загруженный SSL-сертификат.


Шаг 5: Автоматизируйте продление и синхронизируйте с DSM

Если Вы хотите, чтобы на Вашем NAS Synology всегда обновлялся последний сертификат — без входа в DSM и загрузки файлов вручную, — Вы можете использовать встроенный в acme.sh«крючок» synology_dsm deploy hook. Это позволит acme.sh загружать обновленные сертификаты непосредственно в DSM через HTTPS.

Вот как его настроить.

1. Настройте учетные данные DSM (одноразовая настройка)

С внешнего хоста (где установлен acme.sh ) выполните команду:

export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"

Замените заполнители на свои учетные данные. Эти значения хранятся в Вашей сессии оболочки, и acme.sh использует их для безопасного подключения.

2. Разверните сертификат в DSM

После того как сертификат выпущен или обновлен, разверните его на DSM с помощью:

acme.sh --deploy \
  -d yourdomain.com \
  --deploy-hook synology_dsm

Эта команда будет:

  • Подключитесь к NAS по протоколу HTTPS (порт 5001).
  • Загрузите файлы закрытого ключа и сертификата
  • Замените текущий сертификат в Панели управления DSM
  • Перезапустите все необходимые службы (GUI, File Station, WebDAV и т.д.).

Вы можете проверить изменения в DSM > Панель управления > Безопасность > Сертификат.

3. Позвольте acme.sh заниматься всем (автообновление + авторазвертывание)

Хорошие новости: на сайте acme.sh уже установлено задание cron, которое выполняется ежедневно. Если срок действия Вашего сертификата близок, он будет выполнен:

  • Обновляйте сертификат автоматически
  • Снова запустите крючок развертывания synology_dsm.
  • Загрузите новый сертификат в DSM
  • Перезапустите службы DSM в тихом режиме

Как только это настроено, все работает на автопилоте. Никакого взаимодействия с графическим интерфейсом не требуется.


Общие вопросы

Ниже мы рассмотрим наиболее распространенные вопросы, которые задают пользователи после установки:

Могу ли я установить и запустить acme.sh на самом NAS?

Технически да (через SSH или Docker), но обновления DSM могут нарушить зависимости. Безопаснее управлять ACME с внешнего хоста.

Обновляет ли Synology автоматически внешние сертификаты?

Нет, DSM не будет извлекать их автоматически. Используйте крючок развертывания или запланированный сценарий для отправки обновлений после каждого обновления.

Могу ли я использовать сертификаты с подстановочным знаком?

Да, проблема с -d *.yourdomain.com, использующим проверку DNS. Sectigo и DigiCert поддерживают подстановочные знаки через ACME, если они включены в Вашем профиле.


Заключительные слова

Эта установка соединяет современную коммерческую автоматизацию ACME SSL с экосистемой Synology. Вы получаете преимущества доверенного сертификата, полный контроль цепочки и внешнее обновление, а для того, чтобы связать все это воедино, Вам потребуется лишь немного скриптов. Сделав это один раз, Вы сможете легко повторить это для других устройств NAS, субдоменов или клиентов.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Детальное изображение дракона в полете
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.