在使用Synology NAS（如DS220+、DS923+、RS2423+）时，自签名证书是默认用于HTTPS加密的基础证书——它无需第三方CA机构审核，可直接在DSM中创建，但存在“默认有效期1-3年”的限制。当自签名证书过期后，用户会遇到“浏览器访问DSM提示‘不安全连接’”“File Station文件传输中断”“Synology Drive同步失败”等问题，严重影响NAS的安全访问。本文严格依据Synology官方知识库（链接内容），从“过期影响”“过期原因”“分版本续订步骤”“替换验证”“高频问题解决”五个维度，提供可落地的解决方案，帮你快速恢复HTTPS正常访问，避免因证书过期导致的服务中断。

一、Synology 自签名证书过期的3大核心影响

自签名证书过期后，DSM的HTTPS加密功能会失效，进而影响所有依赖HTTPS的服务，具体表现可分为三类，用户可对照判断是否属于“证书过期”问题：

1. 浏览器访问警告（最直观表现）

无论通过局域网IP（如`https://192.168.1.100`）还是QuickConnect访问DSM，浏览器都会弹出“不安全连接”警告，不同浏览器提示略有差异：

- Chrome/Edge：显示“您的连接不是私密连接”，提示“NET::ERR_CERT_DATE_INVALID”（证书日期无效）；

- Firefox：显示“安全连接失败”，提示“证书的有效期已过或尚未开始”；

- Safari：显示“此网站的证书无效”，无法直接进入DSM登录页，需点击“显示详细信息>访问此网站”才能强制进入（存在安全风险）。

2. 依赖HTTPS的服务中断

DSM中多数核心服务默认使用自签名证书实现加密，过期后会直接中断：

- 文件传输类：File Station无法通过HTTPS上传/下载文件，提示“连接被重置”；Synology Drive客户端同步时显示“证书验证失败”，同步任务暂停；

- 远程访问类：通过DSM移动APP（DS file、DS photo）登录时，提示“证书已过期，无法建立安全连接”，无法查看NAS中的文件；

- 应用服务类：Web Station搭建的本地网站无法访问，提示“HTTPS证书错误”；Docker容器中依赖HTTPS的服务（如Nginx反向代理）无法启动，日志显示“certificate expired”。

3. DSM系统内部提示

部分情况下，DSM会主动提示证书过期，帮助用户定位问题：

- 登录DSM后，桌面弹出“系统通知”：“当前使用的自签名证书已过期，请尽快更新证书”；

- 进入「控制面板 > 安全性 > 证书」，目标证书的“状态”显示“已过期”（红色字体），并标注过期日期（如“有效期至：2024-05-20”，当前日期已超过该时间）。

二、自签名证书过期的2大核心原因（官方解析）

Synology自签名证书并非永久有效，过期的根源在于“证书本身的有效期限制”和“缺乏自动续订机制”，这是官方设计的安全策略，避免长期使用同一证书导致的安全风险：

1. 自签名证书默认有效期限制

Synology在创建自签名证书时，会默认设置1-3年的有效期（具体时长因DSM版本而异）：

- DSM 7.x版本：默认有效期为3年（1095天），从证书创建日期开始计算；

- DSM 6.x版本：默认有效期为1年（365天），部分旧版本甚至为90天；

- 查看有效期方法：进入「控制面板 > 安全性 > 证书」，选中自签名证书，点击右侧「操作 > 查看证书」，在“有效期”栏可查看“开始日期”和“结束日期”，若当前日期超过“结束日期”，即确认过期。

2. 自签名证书无自动续订功能

与Let's Encrypt证书（支持DSM自动续订）不同，自签名证书是“一次性证书”，DSM不会自动检测过期并续订——原因在于自签名证书无需第三方CA审核，若自动续订可能导致“证书频繁更换”，影响服务稳定性。因此，官方要求用户“手动创建新的自签名证书”替换过期证书，而非“续订旧证书”（旧证书过期后无法延长有效期，只能替换）。

三、DSM 7.x 自签名证书替换步骤（主流版本，官方推荐）

DSM 7.x对证书管理界面进行了优化，替换过期自签名证书的步骤更简洁，全程无需命令行，通过图形化界面即可完成，具体步骤如下：

步骤1：进入DSM证书管理界面（核心入口）

1. 登录DSM（即使证书过期，仍可通过浏览器“强制访问”进入，如Chrome点击“高级>继续前往192.168.1.100（不安全）”）；

2. 点击桌面「控制面板」图标（灰色齿轮样式），在“安全性”分类下找到「安全性」，双击打开；

3. 切换到「证书」标签页，此时会看到过期的自签名证书，状态显示“已过期”（红色字体），记录证书名称（如“default”或“Self-signed Certificate”），后续需替换该证书。

步骤2：创建新的自签名证书（关键步骤）

自签名证书过期后无法“续订”，需创建新证书替换，DSM 7.x提供一键创建功能：

1. 在「证书」页面右上角，点击「创建」下拉菜单，选择「自签名证书」（注意：不要选择“证书签名请求（CSR）”，CSR用于申请第三方证书）；

2. 进入“创建自签名证书”配置页，需填写3项核心信息（官方建议与旧证书信息一致，避免服务兼容性问题）：

- 证书名称：自定义名称（如“Self-signed-2025”，便于区分新旧证书，建议包含年份）；

- 通用名称：填写NAS的访问标识，推荐填写“NAS的局域网IP”（如“192.168.1.100”）或“QuickConnect ID”（如“qc123456.synology.me”），确保与访问地址一致；

- 组织信息（可选）：填写组织名称（如“家庭NAS”“企业IT部”）、部门、城市、国家/地区（默认“CN”即可），不填写也不影响证书使用；

3. 填写完成后，点击「确定」，系统会自动生成新的自签名证书（有效期3年），并显示在证书列表中，状态为“正常”（绿色字体）。

步骤3：将新证书设置为“默认证书”（确保服务使用新证书）

新证书创建后，需将其设为DSM的“默认证书”，否则服务仍会使用过期的旧证书：

1. 在证书列表中，找到刚创建的新自签名证书（如“Self-signed-2025”）；

2. 点击证书右侧「操作」下拉菜单，选择「设置为默认」；

3. 弹出确认框：“确定要将此证书设置为默认证书吗？所有未指定证书的服务将使用此证书”，点击「确定」；

4. 设置完成后，新证书名称旁会显示绿色“默认”标签，旧证书的“默认”标签消失（若旧证书之前是默认证书）。

步骤4：删除过期的旧自签名证书（可选，优化管理）

为避免证书列表混乱，可删除过期的旧证书（删除前建议导出备份，防止误操作）：

1. 在证书列表中，选中过期的旧证书；

2. 点击右侧「操作 > 删除」，弹出提示框：“确定要删除此证书吗？”，若确认旧证书无关联服务，点击「确定」；

- 若提示“证书正在使用中，无法删除”，需先解除旧证书与服务的绑定（参考本文“常见问题4”）；

3. 旧证书删除后，证书列表中仅保留新证书，便于后续管理。

四、DSM 6.x 自签名证书替换步骤（旧版本适配）

DSM 6.x的证书管理界面与7.x略有差异，核心逻辑仍是“创建新证书→设置默认→删除旧证书”，但入口和步骤细节不同，需单独说明：

步骤1：进入证书管理界面

1. 登录DSM（同样可通过浏览器强制访问）；

2. 点击「控制面板 > 安全性 > 证书」，进入证书列表页（DSM 6.x无“证书”单独标签页，需在“安全性”中找到“证书”模块）。

步骤2：创建新自签名证书

1. 点击「添加」按钮（DSM 6.x无“创建”下拉菜单，直接点击「添加」）；

2. 在“添加证书”窗口中，选择「创建自签名证书」，点击「下一步」；

3. 填写证书信息，与DSM 7.x一致：

- 证书名称（如“Self-signed-2025”）、通用名称（NAS IP或QuickConnect ID）、组织信息（可选）；

4. 点击「下一步 > 完成」，新自签名证书创建完成，显示在证书列表中。

步骤3：设置默认证书并替换旧证书

1. 在证书列表中，选中新证书，点击「设置为默认」按钮（DSM 6.x为底部按钮，而非右键菜单）；

2. 系统提示“默认证书已更新”，新证书状态变为“默认”；

3. 选中过期旧证书，点击底部「删除」按钮，确认删除（若提示使用中，需先解绑服务）。

五、证书替换后的3步验证（确保HTTPS恢复正常）

创建并设置新自签名证书后，需通过官方推荐的3种方式验证，确认HTTPS功能已恢复，避免“表面替换成功但服务仍异常”：

1. 浏览器访问验证（最直接）

1. 关闭之前打开的DSM浏览器页面，清除浏览器缓存（避免缓存旧证书）：

- Chrome/Edge：按「Ctrl+Shift+Del」，勾选“缓存的图像和文件”，点击「清除数据」；

- Firefox/Safari：类似操作，清除“网站数据”和“缓存”；

2. 重新打开浏览器，输入DSM访问地址（如`https://192.168.1.100`）；

3. 观察浏览器提示：

- 自签名证书仍会提示“不安全”（因未被浏览器信任，属于正常现象，非过期问题）；

- 但不再显示“证书过期”相关提示（如“NET::ERR_CERT_DATE_INVALID”），点击“高级”可看到“证书有效期”为新的3年（如“2025-05-20”），说明替换成功。

2. 服务功能验证（核心服务测试）

针对之前中断的服务，逐一测试是否恢复：

- File Station：打开File Station，尝试上传一个测试文件（如TXT文档），若能正常上传且无错误提示，说明HTTPS传输恢复；

- Synology Drive：打开Drive客户端，点击「同步设置 > 测试连接」，显示“连接成功”，同步任务自动恢复；

- 移动APP：打开DS file APP，重新登录NAS，若能正常查看文件列表，无“证书过期”提示，说明APP端验证通过。

3. DSM证书状态验证（系统层面确认）

1. 进入DSM「控制面板 > 安全性 > 证书」；

2. 确认新证书的“状态”为“正常”，“有效期”显示为“开始日期：当前日期 → 结束日期：3年后”；

3. 点击「操作 > 查看证书」，在“详细信息”中确认“有效期”“通用名称”与创建时一致，无异常字段。

六、4大高频问题与官方解决方案

根据Synology官方支持案例，用户在替换自签名证书时，常遇到“警告残留”“服务异常”等问题，以下是官方提供的针对性解决方案：

问题1：替换新证书后，浏览器仍显示“证书过期”警告

原因：浏览器缓存了旧证书，未加载新证书；或新证书的“通用名称”与访问地址不匹配（如通用名称填IP，访问用QuickConnect域名）。 

解决方案： 

1. 彻底清除浏览器缓存（参考“验证步骤1”），关闭浏览器后重新打开；

2. 检查新证书的“通用名称”：进入「证书 > 查看证书」，若通用名称为IP（如192.168.1.100），则通过IP访问；若为QuickConnect域名（如qc123456.synology.me），则通过域名访问，确保“访问地址=通用名称”；

3. 若仍有警告，手动导入新证书到浏览器（适用于频繁访问的场景）：在证书详情页点击「下载证书」，按浏览器提示导入“受信任的根证书颁发机构”，导入后浏览器不再提示不安全（需注意：仅本地信任，其他设备需单独导入）。

问题2：替换证书后，Web Station搭建的网站无法访问

原因：Web Station的虚拟主机仍绑定旧的过期证书，未自动切换到新证书。 

解决方案： 

1. 进入DSM「Web Station > 虚拟主机」；

2. 选中无法访问的虚拟主机，点击「编辑」；

3. 在“证书”下拉菜单中，选择新创建的自签名证书，点击「保存」；

4. 重新访问网站，若能正常打开，说明绑定成功。

问题3：删除旧证书时提示“正在使用中，无法删除”

原因：旧证书仍绑定了某些服务（如Docker、VPN Server），DSM为避免服务中断，禁止删除。 

解决方案： 

1. 排查绑定服务：进入「控制面板 > 安全性 > 证书 > 证书使用情况」（DSM 7.x新增功能），可查看旧证书绑定的所有服务；

2. 逐一解绑： 

- Docker：进入「Docker > 容器」，停止绑定旧证书的容器，编辑容器“卷”或“环境变量”，将证书路径改为新证书路径，重启容器；

- VPN Server：进入「VPN Server > L2TP > 编辑」，在“证书”中选择新证书，保存；

3. 解绑完成后，重新尝试删除旧证书，即可成功。

问题4：能否延长自签名证书的有效期（如超过3年）

官方回复：不建议手动延长有效期，DSM默认限制自签名证书最长有效期为3年，这是基于安全考虑（长期使用同一证书会增加被破解的风险）。 

替代方案： 

1. 记录新证书的过期日期（如2025-05-20），在手机或日历中设置“过期前1个月”提醒；

2. 定期检查证书状态：每半年进入「控制面板 > 安全性 > 证书」，确认证书有效期，避免再次过期。

总结

Synology自签名证书过期的解决核心是“创建新证书替换旧证书”，而非“续订旧证书”——DSM 7.x和6.x的操作流程虽有差异，但逻辑一致，关键在于“创建新证书→设置默认→验证服务”。需注意的是，自签名证书替换后仍会有浏览器“不安全”警告（因无CA签名），若需消除警告，可后续申请Let's Encrypt等免费可信证书；若仅用于局域网访问，自签名证书已能满足安全需求。

日常使用中，建议在新证书创建后记录有效期，设置到期提醒，避免因再次过期导致服务中断。若遇到复杂问题（如证书替换后Docker服务无法启动），可参考Synology官方知识库或联系售后，提供NAS型号、DSM版本及证书详情，获取进一步协助。