Schritt-für-Schritt Anleitung: Wildcard-Zertifikate auf der Synology NAS automatisch erstellen mit acme.sh – Tipps & Tricks

Anleitung & Tipps

Du möchtest auf deiner Synology NAS eine eigene Domain nutzen, die über ein gültiges HTTPS-Zertifikat abgesichert ist? Falls du noch ganz am Anfang stehst, schau dir unbedingt meinen Synology NAS Einrichtungs-Guide an. Dort findest du alle Grundlagen, um deine eigene Cloud sicher aufzubauen.

Gerade Wildcard-Zertifikate (z. B. *.deinedomain.de) sind perfekt, um viele Subdomains auf deiner NAS sicher zu betreiben – z. B. für Reverse Proxy, unterschiedliche Webdienste oder Apps.

In dieser ultimativen Anleitung zeige ich dir Schritt für Schritt, wie du mit dem ACME-Client acme.sh automatisch kostenlose Wildcard-Zertifikate von Let’s Encrypt auf deiner Synology NAS erstellen und regelmäßig erneuern kannst. So bleibt dein Synology-System sicher und flexibel.

Warum acme.sh statt DSM?

• DSM unterstützt offiziell keine Wildcard-Zertifikate via Let’s Encrypt, wenn kein passendes DNS-Provider-Plugin verfügbar ist.
• acme.sh ist flexibel, leichtgewichtig und unterstützt zahlreiche DNS-Anbieter wie Cloudflare, Hetzner oder IONOS.
• Die automatische Verlängerung der Zertifikate spart dir manuellen Aufwand.

Voraussetzungen

• SSH-Zugriff auf deine Synology NAS
• Eine eigene Domain
• API-Zugangsdaten deines DNS-Providers (z. B. Cloudflare Token)

acme.sh installieren und Wildcard Synology Zertifikate einrichten

Gehe wie folgt vor, um acme.sh auf deiner Synology NAS zu installieren und deine Wildcard-Zertifikate einzurichten:

1. Melde dich per SSH auf deiner NAS an (z. B. mit PuTTY oder Terminal) und wechsle in den Root-Modus:

   sudo -i

2. Wechsle ins Home-Verzeichnis:

   cd ~

3. Lade acme.sh herunter:

   wget https://github.com/acmesh-official/acme.sh/archive/master.tar.gz

4. Entpacke das heruntergeladene Archiv:

   tar -zxvf master.tar.gz

5. Wechsle ins entpackte Verzeichnis:

   cd acme.sh-master

6. Installiere acme.sh:

   ./acme.sh --install --nocron --home /usr/local/share/acme.sh --accountemail "[email protected]"

   Hinweis: Ersetze die E-Mail-Adresse durch deine eigene. Darüber informiert dich Let’s Encrypt, falls es Probleme mit deinem Zertifikat gibt.

7. Wechsle ins übergeordnete Verzeichnis und lade das Profil neu:

   cd ..

   source .profile

8. Wechsle ins Installationsverzeichnis:

   cd /usr/local/share/acme.sh

9. Rufe deinen persönlichen Cloudflare Token und deine Account ID unter Manage Account > Account API Tokens ab.

   Eine vollständige Übersicht aller unterstützten DNS-Provider findest du hier:
   acme.sh Doku – Liste der DNS-Provider

   
10. Setze deine Zugangsdaten für deinen DNS-Provider (hier am Beispiel Cloudflare). Diese Daten kannst du in dein Profil oder direkt vor dem Befehl exportieren:

    # Cloudflare API-Daten setzen
    export CF_Token="dein_cloudflare_token"
    export CF_Account_ID="deine_cloudflare_account_id"
    

    Hinweis: Ersetze die Werte durch deine persönlichen Daten von deinem DNS-Anbieter.

11. Erstelle dein Wildcard-Zertifikat für deine Domain (Beispiel):

    ./acme.sh --issue --dns dns_cf -d highenddigital.de -d '*.highenddigital.de'

    Ersetze die Domains durch deine eigene Domain und deine Wildcard-Subdomain.

12. Richte den Deploy-Hook für Synology DSM ein, damit das neue Zertifikat automatisch übertragen wird.
    Lege dafür am besten einen eigenen DSM-User mit Admin-Rechten und starkem Passwort an.

    Setze folgende Variablen:

    export SYNO_Username="Admin_Zertifikat"           # DSM-Benutzername
    export SYNO_Password="SuperSicheresKennwort"     # Starkes Passwort verwenden
    export SYNO_Certificate="acme.sh certificate"    # leer lassen, wenn Standard-Zertifikat überschrieben werden soll
    export SYNO_PORT="5001"                          # DSM-Port, falls geändert (Standard: 5001)
    export SYNO_Create="1"                           # Erstellt Ordner für Zertifikat, falls noch nicht vorhanden

    Starte den Deploy-Befehl (Beispiel):

    ./acme.sh --deploy --home . -d highenddigital.de --deploy-hook synology_dsm

    Auch hier gilt: Ersetze die Domain durch deine eigene.

13. Überprüfe anschließend in DSM, ob dein neues Zertifikat eingetragen wurde: DSM → Systemsteuerung → Sicherheit → Zertifikat

14. Automatische Erneuerung einrichten

    acme.sh prüft alle 60 Tage, ob dein Zertifikat erneuert werden muss. Damit DSM das neue Wildcard-Zertifikat übernimmt, solltest du einen geplanten Task anlegen.

    So geht’s:

    • Öffne die DSM Systemsteuerung → Aufgabenplaner
    • Klicke auf „Erstellen“ → „Geplante Aufgabe“ → „Benutzerdefiniertes Skript“
    • Gib der Aufgabe einen Namen, z. B. Wildcard-Zertifikat-Erneuerung
    • Wähle als Benutzer root
    • Unter „Zeitplan“ wähle eine Uhrzeit, zu der du deine NAS nicht aktiv nutzt (z. B. 04:00 Uhr morgens)
    • Trage folgenden Befehl ein:

    /usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/

    Tipp: Trage zusätzlich deine E-Mail-Adresse in die Config ein, damit du bei Problemen mit deinem Zertifikat informiert wirst.

15. Fertig! Damit hast du ein automatisches Wildcard-Zertifikat-Setup für deine Synology NAS eingerichtet.

Fazit

Mit acme.sh lassen sich Wildcard-Zertifikate auf der Synology NAS besonders flexibel und kostenlos erstellen. Anders als der DSM-Standard bietet dir acme.sh Unterstützung für zahlreiche DNS-Provider und die Möglichkeit, auch Wildcard Synology Zertifikate zu sichern. Gerade für alle, die ihre eigene Cloud oder ein Smart-Home-Setup betreiben, ist dies eine perfekte Lösung für mehr Sicherheit, Datenschutz und Komfort. Falls du deine Synology NAS von Grund auf einrichten möchtest, wirf auch einen Blick in meinen Synology NAS Einrichtungs-Guide.