bg-tutorials

Synology NAS’a ACME SSL Sertifikası Nasıl Kurulur

Bu kılavuzda, ACME + EAB kimlik bilgilerini kullanarak Synology NAS’a bir ACME SSL sertifikasını nasıl yükleyeceğinizi ve ardından bunu Synology’ye nasıl aktaracağınızı öğreneceksiniz. Bu işlem tamamlandığında NAS’ınız tamamen DSM (Disk Station Manager) dışında otomasyonla yönetilen bir sertifika çalıştırıyor olacaktır.

Synology Nas ACME SSL

Synology DSM, SSL sertifikalarının doğrudan GUI aracılığıyla içe aktarılmasına izin verir ancak ticari ACME sertifikaları için ( Sectigo veya DigiCert gibi sağlayıcılardan), en iyi yaklaşım bunları acme.sh ile harici olarak yönetmek ve daha sonra içe aktarmaktır.


Başlamadan Önce

Aşağıdakilere sahip olduğunuzdan emin olun:

  • Synology’nizin genel IP’sine işaret eden bir alan adı
  • DSM 7.x (en iyi uyumluluk için 7.2 önerilir) GUI aracılığıyla tam sertifika içe aktarımını destekler.”
  • Yükleyebileceğiniz harici bir Linux ana bilgisayarı, VPS veya yerel sunucu acme.sh
  • Sertifika sağlayıcınızın ACME URL’ sine ve EAB kimlik bilgilerine (KID + HMAC) erişim

Adım 1: acme.sh dosyasını yükleyin

Her şeyden önce, CA’nızla iletişimi sağlayacak ACME istemcisine ihtiyacınız vardır.

Bu komutları harici ana bilgisayarınızda (Linux, BSD veya VPS) çalıştırın:

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Ekranda basılı sürümü görmelisiniz. Bu, kurulumun başarılı olduğu anlamına gelir.


Adım 2: ACME Hesabınızı CA’ya Kaydettirin

Ticari sağlayıcınız (Sectigo veya DigiCert gibi) size iki kimlik bilgisi verir: bir EAB Anahtar Kimliği ve bir HMAC Anahtarı. Bunlar ACME istemcinizi yetkilendirir.

Bunları aldıktan sonra, aynı ana bilgisayardan bu komutu çalıştırın:

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Yer tutucuları gerçek kimlik bilgilerinizle değiştirin.


Adım 3: Sertifikayı DNS Doğrulaması ile Yayınlayın

Şimdi NAT arkasındaki NAS cihazları için en güvenli ve en güvenilir seçenek olan DNS doğrulamasını kullanarak sertifikanızı yayınlayın.

Örnek (manuel DNS girişi):

acme.sh --issue \
  -d yourdomain.com \
  --dns dns_manual \
  --server https://acme.sectigo.com/v2/OV

Bu DNS kaydını oluşturmanız istenecektir:

_acme-challenge.yourdomain.com  TXT  (token value)

Yayılmadan sonra ( dig TXT _acme-challenge.yourdomain.com +short adresini kullanarak kontrol edin), doğrulamayı bitirmek için komutu yeniden çalıştırın.

Sertifika dosyalarınız şu adrese kaydedilecektir: ~/.acme.sh/yourdomain.com/.

Bu klasörün içinde şunları bulacaksınız:

  • fullchain.cer – sertifika + ara zincir
  • yourdomain.com.key – özel anahtar
  • ca.cer – root/intermediate (ayrı olarak sağlanmışsa)

Adım 4: Sertifikayı Synology’ye İçe Aktarın

  1. DSM’de oturum açın > Kontrol Paneli > Güvenlik > Sertifika.
  2. Ekle’ye tıklayın > Sertifika İçe Aktar
  3. Özel anahtarınızı ve sertifikanızı yükleyin (fullchain.cer)

İçe aktarıldıktan sonra, Ayarlar ‘a gidin ve sertifikayı atayın:

  • DSM Web Arayüzü
  • Dosya İstasyonu / Web İstasyonu
  • Ters Proxy
  • WebDAV / Sürücü
  • SSL VPN (kullanılıyorsa)

NAS’ınız şimdi yüklenen SSL sertifikasını kullanır.


Adım 5: Yenilemeyi Otomatikleştirin ve DSM ile Senkronize Edin

Synology NAS’ınızın her zaman en son sertifika ile güncel kalmasını istiyorsanız – DSM’de oturum açmadan veya dosyaları manuel olarak yüklemeden – acme.sh‘un yerleşik synology_dsm dağıtım kancasını kullanabilirsiniz. Bu, acme.sh adresinin yenilenen sertifikaları HTTPS aracılığıyla doğrudan DSM’ye göndermesini sağlar.

İşte nasıl kurulacağı.

1. DSM Kimlik Bilgilerini Yapılandırma (Tek Seferlik Kurulum)

Harici ana bilgisayarınızdan ( acme.sh ‘un kurulu olduğu yer) çalıştırın:

export SYNO_Username="admin"
export SYNO_Password="YourAdminPassword"
export SYNO_Hostname="nas.local"
export SYNO_Port="5001"

Yer tutucuları kimlik bilgilerinizle değiştirin. Bu değerler kabuk oturumunuzda saklanır ve acme.sh güvenli bir şekilde bağlanmak için bunları kullanır.

2. Sertifikayı DSM’ye Dağıtın

Bir sertifika verildikten veya yenilendikten sonra, sertifikayı DSM’ye dağıtmak için

acme.sh --deploy \
  -d yourdomain.com \
  --deploy-hook synology_dsm

Bu komut:

  • NAS’ınıza HTTPS üzerinden bağlanın (port 5001)
  • Özel anahtar ve sertifika dosyalarını yükleyin
  • DSM’nin Kontrol Panelindeki mevcut sertifikayı değiştirin
  • Gerekli tüm hizmetleri yeniden başlatın (GUI, File Station, WebDAV, vb.)

Değişikliği DSM > Kontrol Paneli > Güvenlik > Sertifika bölümünden doğrulayabilirsiniz.

3. Bırakın acme.sh Her Şeyi Halletsin (Otomatik Yenileme + Otomatik Dağıtma)

İyi haber: acme.sh zaten günlük olarak çalışan bir cron işi yükler. Sertifikanızın süresi dolmak üzereyse, çalışacaktır:

  • Sertifikayı otomatik olarak yenileme
  • synology_dsm dağıtım kancasını tekrar tetikleyin
  • Yeni sertifikayı DSM’ye yükleyin
  • DSM hizmetlerini sessizce yeniden başlatın

Bu ayarlandıktan sonra, her şey otomatik pilotta çalışır. GUI etkileşimine gerek yoktur.


Sık Sorulan Sorular

Aşağıda, kullanıcıların kurulumdan sonra en sık sordukları soruları ele alıyoruz:

NAS’ın kendisine acme.sh yükleyebilir ve çalıştırabilir miyim?

Teknik olarak evet (SSH veya Docker aracılığıyla), ancak DSM güncellemeleri bağımlılıkları bozabilir. ACME’yi harici bir ana bilgisayardan yönetmek daha güvenlidir.

Synology harici sertifikaları otomatik olarak günceller mi?

Hayır, DSM bunları otomatik olarak çekmez. Her yenilemeden sonra güncellemeleri göndermek için dağıtım kancasını veya zamanlanmış bir komut dosyasını kullanın.

Joker karakter sertifikaları kullanabilir miyim?

Evet, DNS doğrulaması kullanan -d *.yourdomain.com ile ilgili sorun. Sectigo ve DigiCert, profilinizde etkinleştirildiğinde ACME aracılığıyla joker karakterleri destekler.


Son Sözler

Bu kurulum modern ticari ACME SSL otomasyonu ile Synology’nin ekosistemi arasında köprü kurar. Güvenilir bir sertifikanın, tam zincir kontrolünün ve harici yenilemelerin avantajlarını, hepsini birbirine bağlamak için sadece biraz komut dosyası ile elde edersiniz. Bir kez yaptıktan sonra, diğer NAS cihazları, alt alanlar veya istemciler için kolayca çoğaltabilirsiniz.

Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!

Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10

A detailed image of a dragon in flight
Tarafından yazıldı

SSL Sertifikaları konusunda uzmanlaşmış deneyimli içerik yazarı. Karmaşık siber güvenlik konularını açık, ilgi çekici içeriğe dönüştürmek. Etkili anlatımlar yoluyla dijital güvenliğin geliştirilmesine katkıda bulunun.