Synology NAS 证书签发请求（CSR）创建与证书导入完整指南

在使用Synology NAS部署HTTPS服务（如DSM远程访问、Synology Drive同步、MailPlus邮件加密）时，需向第三方证书颁发机构（CA，如Let’s Encrypt、DigiCert）申请SSL证书，而“证书签发请求（CSR，Certificate Signing Request）”是申请的核心前提——它包含NAS的身份信息（如域名、组织信息），由NAS生成后提交给CA，CA基于此签发对应的SSL证书。很多用户不清楚如何在不同DSM版本的Synology NAS上创建CSR，也容易忽略私钥保存、证书导入等关键步骤。本文基于Synology官方技术文档，从“CSR基础认知→DSM 7.x创建步骤→DSM 6.x创建步骤→证书导入流程→注意事项”五个维度，提供step-by-step实操指南，帮你顺利完成CSR创建与证书部署，保障NAS服务的加密安全。

一、基础认知：先懂CSR的核心作用与关联文件

在开始操作前，需明确CSR的本质的与配套文件的关系——这是避免后续操作失误的关键，尤其要区分“CSR”与“私钥”的不同用途。

1. 什么是CSR？为什么需要在NAS上创建？

CSR是一份“加密的身份申请文件”，由Synology NAS基于私钥生成，核心作用是向第三方CA证明“你有权为某个域名申请证书”：

- 内容构成：CSR包含域名（Common Name）、组织名称（Organization）、组织单位（Organizational Unit）、所在地区（City/State/Country）等信息，这些信息会被CA核验，最终体现在签发的SSL证书中；

- 生成逻辑：创建CSR时，NAS会自动生成一对“公钥+私钥”，其中公钥嵌入CSR提交给CA，私钥则保存在本地（即后续下载的server.key文件），用于后续与CA签发的证书配对使用；

- 必要性：没有CSR，CA无法确认你的身份与域名归属，无法签发可信任的SSL证书——缺少证书的NAS服务（如DSM登录）会被浏览器提示“不安全”，影响使用体验与数据安全。

2. CSR生成后的关键文件：server.csr与server.key

在Synology NAS上创建CSR后，会下载到一个名为“Archive.zip”的压缩包，解压后包含两个核心文件，两者缺一不可，需妥善保存：

| 文件名称   | 类型       | 核心作用                                  | 保存要求                          |

|------------|------------|-------------------------------------------|-----------------------------------|

| server.csr | 证书请求文件 | 提交给第三方CA，用于申请SSL证书            | 可共享（提交给CA时需提供）        |

| server.key | 私钥文件   | 与CA签发的证书配对，用于解密HTTPS流量      | 绝对私密，不可泄露，丢失无法恢复  |

- 关键提醒：私钥（server.key）是NAS加密通信的“核心密钥”，若泄露，他人可能伪造你的证书窃取数据；若丢失，即使从CA获取了证书，也无法在NAS上激活，需重新创建CSR并申请新证书。

二、DSM 7.x版本：创建CSR的6步详细流程（适用于DSM 7.0及以上）

DSM 7.x对“证书管理”界面进行了优化，CSR创建入口整合在“证书→高级设置”中，操作路径更清晰，以下以DSM 7.2-64570版本为例，提供分步操作。

步骤1：进入DSM的“证书管理”界面

1. 登录Synology NAS的DSM管理界面（通过电脑浏览器访问NAS的IP地址，如“192.168.1.100”）；

2. 在左侧菜单栏找到“控制面板”，点击进入后，在“系统与安全”分类下选择“安全性”；

3. 进入“安全性”页面后，点击顶部“证书”标签页——此页面会显示NAS当前已安装的证书（若未安装，显示“无证书”）。

步骤2：打开“创建CSR”的高级入口

1. 在“证书”页面右上角，点击“设置”按钮（齿轮图标），在下拉菜单中选择“高级”；

2. 在“高级证书设置”弹窗中，找到“证书签发请求（CSR）”板块，点击“创建证书签发请求（CSR）”——此按钮仅在未创建过CSR或需新申请证书时显示，若已有未使用的CSR，需先删除旧CSR再创建。

步骤3：填写CSR的身份信息（关键，需与域名归属一致）

这一步填写的信息会被CA核验，需确保准确且与域名注册信息匹配（尤其是“Common Name”），否则CA会拒绝签发证书：

1. 在“创建证书签发请求”页面，按以下要求填写每一项（带为必填）：

- Common Name（通用名称）： 填写需要申请证书的域名，如“nas.yourdomain.com”（若为多个域名，需选择“SAN证书”，但Synology NAS默认创建单域名CSR，多域名需咨询CA）；

- Organization（组织名称）： 填写你的公司/个人名称（个人用户可填姓名，企业用户填营业执照上的公司全称）；

- Organizational Unit（组织单位）： 填写部门名称（个人用户可填“Personal”，企业用户填“IT Department”“Technical Support”等）；

- City/Locality（城市）： 填写所在城市的英文名称（如“Shanghai”“Guangzhou”，不可用中文）；

- State/Province（省份）： 填写所在省份的英文名称（如“Jiangsu”“Guangdong”，不可用中文，且需与城市对应）；

- Country（国家/地区）： 从下拉菜单选择“CN”（中国）；

- Email Address（电子邮箱）： 填写常用邮箱，用于接收CA的证书签发通知与续期提醒；

2. 填写完成后，点击“下一步”——系统会自动生成私钥与CSR，此过程约10-20秒，期间不要关闭页面。

步骤4：下载并解压Archive.zip压缩包

1. CSR生成完成后，页面会提示“证书签发请求已创建”，点击“下载”按钮；

2. 浏览器会自动下载“Archive.zip”文件（大小约1-2KB），保存到电脑的“下载”文件夹或指定路径；

3. 右键点击压缩包，选择“解压到当前文件夹”，得到“server.csr”和“server.key”两个文件；

4. 立即将这两个文件复制到安全位置（如加密U盘、企业内网存储），并标注“NAS CSR_域名_日期”（如“NAS CSR_nas.yourdomain.com_20240701”），避免后续混淆。

步骤5：向第三方CA提交CSR申请证书

创建CSR后，需将server.csr文件提交给你选择的CA（如Let’s Encrypt免费证书、DigiCert企业证书），申请流程因CA而异，以下是通用步骤：

1. 登录第三方CA的管理平台（如Let’s Encrypt的Certbot工具、DigiCert的证书申请页面）；

2. 选择“SSL证书类型”（如“单域名证书”“多域名证书”，匹配CSR中的Common Name）；

3. 在“上传CSR”或“粘贴CSR内容”环节，选择本地的server.csr文件，或用记事本打开server.csr，复制全部内容粘贴到对应输入框；

4. 完成CA的“域名验证”（常见方式：DNS解析验证——添加CA提供的TXT记录；文件验证——在NAS的Web目录上传验证文件）；

5. 验证通过后，CA会在10-30分钟内签发证书，将证书文件（通常为yourdomain.crt格式）发送到你的预留邮箱，部分CA还会提供“中间证书”（如CertificateAuthority.crt）。

步骤6：备份CSR创建记录（可选但推荐）

为方便后续查询，可在DSM中备份CSR的创建信息：

1. 返回DSM的“证书→设置→高级”页面；

2. 在“证书签发请求（CSR）”板块，点击“查看”，可查看已创建CSR的详细信息（如创建时间、Common Name）；

3. 截图保存此页面，或复制信息到文档中，标注对应的文件保存路径，便于后续证书导入时核对。

三、DSM 6.x版本：创建CSR的5步详细流程（适用于DSM 6.2及以下）

DSM 6.x的CSR创建入口与7.x不同，直接在“证书”页面显示“CSR”按钮，操作步骤稍简，但核心逻辑一致，以下以DSM 6.2.1-24921版本为例。

步骤1：进入DSM的“证书”管理页面

1. 登录DSM 6.x管理界面，点击左侧“控制面板”；

2. 在“控制面板”中选择“安全性”，进入后点击“证书”标签页——此页面默认显示“证书”与“CSR”两个子标签。

步骤2：启动CSR创建向导

1. 点击“CSR”子标签，进入“证书签发请求”页面；

2. 点击“创建证书签发请求（CSR）”，然后点击“下一步”——若之前创建过CSR，需先点击“删除”旧请求，才能创建新CSR。

步骤3：填写CSR身份信息（与DSM 7.x要求一致）

1. 填写页面与DSM 7.x基本相同，需确保信息准确：

- Common Name：必填，填写目标域名（如“dsm.yourcompany.com”）；

- Organization：填写组织/个人名称，企业用户需与营业执照一致；

- Organizational Unit：填写部门（如“IT Team”）；

- City/State/Country：填写英文地区信息，Country选择“CN”；

- Email Address：填写可接收证书通知的邮箱；

2. 填写完成后点击“下一步”，系统开始生成CSR与私钥。

步骤4：下载并保存Archive.zip压缩包

1. CSR生成成功后，点击“下载”按钮，获取“Archive.zip”文件；

2. 解压后同样得到“server.csr”和“server.key”，按DSM 7.x的要求保存（私钥不可泄露，建议加密存储）；

3. 注意：DSM 6.x生成的私钥仅支持RSA格式（DSM 7.x支持RSA与ECC两种格式），后续申请证书时需选择与RSA兼容的CA套餐。

步骤5：向CA提交CSR申请证书（流程同DSM 7.x）

与DSM 7.x一致，将server.csr提交给第三方CA，完成域名验证后获取签发的证书文件（yourdomain.crt）与可选的中间证书，等待后续导入。

四、通用步骤：将第三方CA签发的证书导入Synology NAS

无论DSM 7.x还是6.x，证书导入流程基本一致——需将CA签发的证书与本地保存的server.key配对导入，才能启用HTTPS服务。

步骤1：准备导入所需的3类文件（根据CA提供情况）

导入前需确认已准备以下文件，避免因文件缺失导致失败：

- 必选文件1：私钥（server.key）：创建CSR时下载的本地文件，不可用其他私钥替代；

- 必选文件2：CA签发的证书（yourdomain.crt）：从CA邮箱下载的证书文件，格式为X.509 PEM（后缀通常为.crt或.pem）；

- 可选文件3：中间证书（Intermediate Certificate）：部分CA（如Let’s Encrypt、Comodo）会提供，用于增强证书的信任链，若CA未提供，可忽略此步骤。

步骤2：进入DSM的“证书导入”界面

1. 登录NAS的DSM管理界面，进入“控制面板→安全性→证书”；

2. 点击“添加”按钮（DSM 7.x）或“导入”按钮（DSM 6.x），在弹出的向导中选择“添加新证书”（DSM 7.x）或“导入证书”（DSM 6.x），点击“下一步”；

3. 选择“导入证书”选项（而非“创建自签名证书”），点击“下一步”——自签名证书仅适用于内部测试，不可用于公网服务。

步骤3：上传私钥、证书与中间证书

1. 在“导入证书文件”页面，按以下顺序上传文件：

- 私钥（Private Key）：点击“浏览”，选择本地保存的“server.key”文件，确保文件格式为RSA（DSM 6.x）或RSA/ECC（DSM 7.x）；

- 证书（Certificate）：点击“浏览”，选择CA签发的“yourdomain.crt”文件，系统会自动验证文件格式（仅支持X.509 PEM格式，若提示“格式错误”，需联系CA重新获取正确格式的证书）；

- 中间证书（Intermediate Certificate）：若CA提供，点击“浏览”上传（如“Let’s Encrypt Authority X3.crt”）；若未提供，此栏留空即可；

2. 上传完成后，点击“确定”（DSM 7.x）或“下一步”（DSM 6.x）。

步骤4：验证证书导入结果并应用到服务

1. 导入成功后，返回“证书”页面，会显示新导入的证书，状态为“有效”（若显示“无效”，需检查私钥与证书是否配对、证书是否过期）；

2. （可选）将证书应用到具体服务：点击证书右侧的“配置”，选择需要启用HTTPS的服务（如“DSM”“Synology Drive”“MailPlus”），点击“确定”——配置后，访问这些服务时会自动使用新证书，浏览器不再提示“不安全”；

3. 测试验证：打开新的浏览器窗口，输入NAS的域名（如“https://nas.yourdomain.com”），若地址栏显示“小锁”图标，说明证书已生效。

五、6个关键注意事项：避免CSR创建与证书导入失败

根据Synology官方文档与用户反馈，以下6个细节最易导致操作失败，需严格遵守，确保流程顺畅。

1. 私钥必须与CSR配对，不可混用

- 错误场景：用A次创建CSR的server.key，去导入B次CSR申请的证书；

- 后果：系统提示“私钥与证书不匹配”，无法导入；

- 解决：每次申请新证书时，重新创建CSR并保存新的server.key，旧CSR与私钥可备份后删除，避免混淆。

2. 证书格式必须为X.509 PEM，拒绝其他格式

- 常见错误格式：DER格式（后缀为.der）、PFX格式（后缀为.pfx）；

- 识别方法：用记事本打开证书文件，若开头为“-----BEGIN CERTIFICATE-----”，结尾为“-----END CERTIFICATE-----”，即为PEM格式；

- 转换方法：若CA提供其他格式，需用OpenSSL工具转换（如将DER转PEM：`openssl x509 -inform der -in cert.der -out cert.crt`）。

3. DSM 6.x与7.x的私钥格式差异：RSA/ECC兼容问题

- DSM 6.x限制：仅支持RSA格式私钥，创建CSR时默认生成RSA密钥（通常为2048位或4096位）；

- DSM 7.x优势：支持RSA（兼容性好）与ECC（密钥更短，加密效率高）两种格式，申请ECC证书需在CA选择“ECC套餐”；

- 建议：企业用户优先选RSA（兼容性覆盖旧浏览器），个人用户可选ECC（更高效）。

4. 域名验证必须通过，否则CA不签发证书

- 常见验证失败原因：DNS TXT记录添加错误（如拼写错误、未生效）、验证文件未上传到正确路径；

- 解决：添加DNS记录后，通过“nslookup -q=TXT 验证域名”确认记录已生效；上传验证文件后，通过浏览器访问“http://域名/.well-known/acme-challenge/验证文件名”确认可访问。

5. 私钥不可泄露，建议加密存储

- 风险：私钥泄露后，他人可伪造你的证书，拦截或篡改NAS的HTTPS流量；

- 存储建议：将server.key保存在加密U盘或企业内网的加密存储中，不存储在公共电脑或云盘（如百度云、阿里云）；

- 备份：定期将私钥与CSR文件备份到离线设备（如移动硬盘），避免NAS硬盘损坏导致文件丢失。

6. 证书过期前需提前重新申请，避免服务中断

- 证书有效期：多数免费CA（如Let’s Encrypt）的证书有效期为90天，付费CA通常为1-3年；

- 提醒设置：在DSM的“证书”页面，开启“证书过期提醒”（DSM 7.x：证书→设置→提醒；DSM 6.x：证书→高级→提醒），提前30天接收过期通知；

- 续期流程：续期时需重新创建CSR（或使用CA的自动续期工具），重复“申请→导入”流程，避免证书过期导致服务不可用。

六、常见问题解答（FAQ）：解决操作中的高频难题

基于Synology官方技术支持案例，整理了CSR创建与证书导入的5个高频问题，覆盖用户最关心的“文件丢失”“格式错误”等场景，帮你快速排查。

Q1：创建CSR后，server.key文件丢失了，怎么办？

- 官方回复：私钥丢失无法恢复，需重新创建CSR（会生成新的server.key），并向CA重新申请证书；

- 建议：重新创建CSR时，填写与原CSR一致的域名与组织信息，避免CA核验时出现差异。

Q2：导入证书时提示“私钥格式错误”，DSM 6.x用户该如何处理？

- 原因：DSM 6.x仅支持RSA格式私钥，若使用ECC格式私钥（DSM 7.x生成），会提示错误；

- 解决方案：在DSM 6.x中重新创建CSR（默认生成RSA私钥），用新的server.csr申请证书，再导入新的server.key与证书。

Q3：CA要求提供“CSR的签名算法”，该如何查看？

- 查看方法：用OpenSSL工具在电脑上执行命令：`openssl req -text -noout -in server.csr`；

- 关键信息：在输出结果中找到“Signature Algorithm”，如“sha256WithRSAEncryption”（RSA算法+SHA256签名），将此信息提供给CA即可。

Q4：导入中间证书后，证书仍显示“不信任”，是什么原因？

- 可能原因：中间证书未完整导入（如CA提供多级中间证书，仅导入了一级）；

- 解决方案：联系CA获取完整的中间证书链（通常为一个包含多个“BEGIN/END CERTIFICATE”块的文件），将整个文件内容复制到“中间证书”上传框，或按CA提供的顺序合并中间证书后导入。

Q5：能否在多台Synology NAS上使用同一CSR申请的证书？

- 官方限制：不建议，因为私钥（server.key）只能在一台NAS上使用，多台NAS需分别创建CSR，申请多个证书（或申请支持多域名/多IP的SAN证书）；

- 例外场景：若多台NAS使用同一域名（如通过负载均衡），可申请SAN证书，在每台NAS上导入相同的证书与私钥（需确保私钥安全分发）。

总结：CSR创建与证书部署的核心逻辑

Synology NAS上创建CSR的核心逻辑是“生成私钥→嵌入身份信息→提交CA核验”，而证书导入的关键是“私钥与证书配对”——整个流程的重点在于“信息准确填写”“私钥安全保存”“格式严格匹配”。无论是DSM 7.x还是6.x，只要按步骤操作，避开私钥泄露、格式错误等误区，就能顺利完成CSR创建与证书部署，让NAS的HTTPS服务获得浏览器信任，保障数据传输安全。

若在操作中遇到“CA核验失败”“证书导入无响应”等问题，可通过Synology DSM的“支持中心”提交工单，提供CSR文件（脱敏后）、证书文件格式截图，官方技术支持会在1-3个工作日内协助排查，确保证书正常生效。