Synology NAS 证书签发请求（CSR）创建与证书导入全指南

在为Synology NAS配置HTTPS安全连接时，若需使用第三方证书颁发机构（CA，如Let's Encrypt、GeoTrust）的可信证书，证书签发请求（CSR，Certificate Signing Request） 是必不可少的中间文件——它包含NAS的核心身份信息（如域名、组织信息），是第三方CA验证身份并签发证书的依据。本文基于Synology官方技术文档，从“CSR基础认知”入手，分DSM 7.x和DSM 6.x两个版本详细拆解CSR创建步骤，同时覆盖“证书导入”“私钥安全”等关键环节，帮你高效完成可信HTTPS证书的申请与配置。

一、前置认知：什么是CSR？为什么需要在Synology NAS上创建它？

在动手操作前，需先明确CSR的核心作用与关联文件，避免因概念混淆导致操作失误。

1. 什么是CSR？

CSR是一种“结构化的文本文件”，由需要申请证书的服务器（此处为Synology NAS）生成，包含以下关键信息： 

- 身份信息：通用名称（通常为NAS的域名，如“nas.yourdomain.com”）、组织名称（公司或个人名称）、所在地区（城市、省份）等； 

- 公钥：NAS生成的公钥（与私钥成对），后续第三方CA会用该公钥加密证书内容； 

- 签名算法：生成CSR时使用的加密算法（如RSA 2048、ECC 256），确保CSR本身不被篡改。

简单来说，CSR是NAS向第三方CA“提交身份申请”的“官方文件”，没有CSR，CA无法验证NAS身份，也就无法签发可信证书。

2. CSR与相关文件的关系（一张表理清）

创建CSR后，Synology NAS会生成一个压缩包（Archive.zip），包含两个核心文件，它们与后续签发的证书共同构成HTTPS安全链条：

| 文件名称       | 类型       | 作用                                  | 安全级别                  |

|----------------|------------|---------------------------------------|---------------------------|

| server.csr     | 证书签发请求 | 提交给第三方CA，用于申请可信证书      | 可公开（不含敏感信息）    |

| server.key     | 私钥文件    | 与CSR中的公钥成对，用于解密CA签发的证书 | 高度机密（泄露会导致安全风险） |

| yourdomain.crt | 签发证书    | 第三方CA验证通过后颁发的可信证书      | 可公开（用于客户端验证服务器） |

关键逻辑：用server.csr向CA申请→CA返回yourdomain.crt→将server.key（私钥）与yourdomain.crt（证书）导入NAS→NAS基于两者启用可信HTTPS连接。

二、分版本操作：在Synology NAS上创建CSR（DSM 7.x/6.x）

Synology DSM 7.x与6.x版本的「证书中心」界面布局存在差异，需按对应版本执行操作，步骤均需管理员权限。

版本1：DSM 7.x 创建CSR（支持RSA/ECC双格式私钥）

DSM 7.x优化了证书管理流程，支持更安全的ECC（椭圆曲线加密）私钥格式，操作步骤如下：

步骤1：进入证书管理界面

1. 打开浏览器，通过HTTPS地址（默认https://NAS_IP:5001）登录Synology DSM管理界面； 

2. 在左侧导航栏点击「控制面板」，在“系统与安全”分类下找到「安全性」，点击进入； 

3. 切换到「证书」标签页，此页面会显示当前NAS已有的证书（如默认自签名证书），点击顶部「设置」按钮，在下拉菜单中选择「高级」。

步骤2：发起CSR创建请求

1. 在「高级证书设置」窗口中，点击「创建证书签发请求（CSR）」，系统会弹出CSR创建向导； 

2. 点击「下一步」，进入“CSR信息填写”页面——这是核心环节，需准确填写，否则可能被CA驳回申请。

步骤3：填写CSR关键信息（避免错误的要点）

需按CA要求填写真实信息（不同CA对信息完整性要求略有差异，以下为通用标准）：

| 信息字段         | 填写要求与示例                          | 注意事项                                  |

|------------------|---------------------------------------|-------------------------------------------|

| 通用名称（Common Name） | 必须填写NAS的域名（如“nas.yourdomain.com”），这是CA验证的核心 | 若NAS用IP访问，此处填IP；用域名访问则填域名，两者必须一致 |

| 组织（Organization） | 填写公司全称（企业用户）或个人姓名（个人用户），如“XX科技有限公司” | 不可为空，CA会验证该信息的真实性（企业需提供营业执照） |

| 组织单位（Organizational Unit） | 填写部门名称（企业用户，如“IT部”），个人用户可填与组织一致的内容 | 部分CA允许个人用户留空，但建议填写以提高通过率 |

| 城市（Locality） | 填写所在城市的全称（不可用简称），如“北京市”“上海市” | 必须为英文或中文（按CA要求，如Let's Encrypt支持中文） |

| 省份/地区（State/Province） | 填写省份或直辖市全称，如“广东省”“重庆市” | 不可用缩写（如“广东”不能写“GD”）          |

| 国家/地区（Country） | 选择国家或地区代码（如中国选“CN”，美国选“US”） | 必须为两位字母代码，不可填写全称          |

| 电子邮件（Email） | 填写常用邮箱地址，用于接收CA的证书通知（如过期提醒） | 确保邮箱可正常接收邮件，避免错过CA的验证邮件 |

| 私钥类型         | 选择RSA或ECC（DSM 7.x支持双格式）      | RSA兼容性强（适合老旧设备），ECC加密效率高（推荐优先选择） |

| 私钥长度         | RSA推荐2048位或4096位，ECC推荐256位    | 长度越长安全性越高，但加密速度稍慢，2048位/RSA为通用选择 |

填写完成后，仔细核对每一项信息（尤其是“通用名称”），确认无误后点击「下一步」。

步骤4：下载并保存CSR与私钥

1. 系统会自动生成CSR文件（server.csr）和私钥文件（server.key），并打包为「Archive.zip」压缩包； 

2. 点击页面中的「下载」按钮，将压缩包保存到电脑的“安全位置”（如加密文件夹）； 

3. 解压「Archive.zip」，确认包含“server.csr”和“server.key”两个文件——私钥文件（server.key）需特别保护，不可泄露给他人，否则可能导致证书被滥用。

至此，DSM 7.x版本的CSR创建完成，下一步可将“server.csr”提交给第三方CA申请证书。

版本2：DSM 6.x 创建CSR（仅支持RSA私钥）

DSM 6.x的证书管理界面更简洁，仅支持RSA格式私钥，操作步骤如下：

步骤1：进入CSR创建入口

1. 登录DSM 6.x管理界面，点击「控制面板」→「安全性」→「证书」； 

2. 在「证书」页面中，点击顶部的「CSR」按钮（DSM 6.x单独设置了CSR操作入口，与DSM 7.x不同），弹出CSR管理窗口。

步骤2：发起CSR创建

1. 在CSR窗口中，选择「创建证书签发请求（CSR）」，点击「下一步」； 

2. 进入“信息填写”页面，填写规则与DSM 7.x一致（参考上文“CSR关键信息填写要求”），需注意： 

- DSM 6.x仅支持「RSA私钥」，无ECC选项，私钥长度推荐选择2048位（兼容性最佳）； 

- “通用名称”必须与NAS的访问地址（域名或IP）完全一致，否则CA会驳回申请。

步骤3：下载并验证文件

1. 信息填写完成并确认后，点击「下一步」，系统生成「Archive.zip」压缩包； 

2. 点击「下载」，将压缩包保存到电脑，解压后确认“server.csr”和“server.key”存在； 

3. 建议立即备份私钥文件（如复制到加密U盘），避免电脑故障导致文件丢失。

三、后续操作：将第三方CA签发的证书导入Synology NAS

当第三方CA验证通过并返回签发的证书（通常为yourdomain.crt格式）后，需将证书与之前保存的私钥（server.key）一起导入NAS，才能启用可信HTTPS连接。该步骤在DSM 7.x和6.x版本中操作逻辑一致，具体如下：

步骤1：准备导入文件

确保以下文件齐全且格式正确（官方要求）： 

- 私钥文件：之前创建CSR时保存的“server.key”（必须与CSR成对，否则无法匹配）； 

- 签发证书：第三方CA提供的证书文件（格式为X.509 PEM，后缀通常为.crt或.pem，如“nas.yourdomain.crt”）； 

- 中间证书（可选）：部分CA会提供中间证书（如“CA-bundle.crt”），用于增强证书链的可信度，若有则需一并准备。

步骤2：进入证书导入界面

1. 登录DSM管理界面，进入「控制面板→安全性→证书」； 

2. 点击顶部「添加」按钮，在弹出的菜单中选择「添加新证书」，点击「下一步」； 

3. 选择「导入证书」（而非“创建自签名证书”），点击「下一步」，进入文件导入页面。

步骤3：上传文件并完成导入

1. 上传私钥：点击「私钥」右侧的「浏览」，选择电脑中保存的“server.key”文件，确认上传； 

2. 上传签发证书：点击「证书」右侧的「浏览」，选择第三方CA提供的“yourdomain.crt”文件，确认上传； 

3. 上传中间证书（可选）：若CA提供中间证书，点击「中间证书」右侧的「浏览」，选择对应的文件（如“CA-bundle.crt”）； 

4. 所有文件上传完成后，点击「确定」，系统会自动验证文件的匹配性： 

- 若验证通过，新导入的证书会显示在「证书」列表中； 

- 若提示“私钥与证书不匹配”，需检查是否上传了与CSR对应的“server.key”（不可用其他私钥替代），或联系CA确认证书是否正确。

步骤4：设置默认证书并验证HTTPS

1. 在「证书」列表中，找到刚导入的第三方证书，点击右侧「操作」→「设为默认证书」； 

2. 关闭当前浏览器窗口，重新打开并访问NAS的HTTPS地址（如https://nas.yourdomain.com:5001）； 

3. 观察浏览器地址栏：若显示「绿色锁形图标」，且提示“连接安全”，说明证书导入成功，NAS已启用可信HTTPS连接。

四、关键注意事项：避免CSR创建与证书导入失败的5个要点

1. 私钥必须安全保存，不可泄露或丢失 

私钥（server.key）是NAS解密证书的核心文件，若泄露，他人可能伪造NAS身份；若丢失，即使有CSR和签发证书，也无法导入NAS——建议： 

- 保存至少2份备份（电脑加密文件夹+加密U盘）； 

- 避免将私钥上传到公共云存储（如未加密的百度网盘）。

2. CSR信息填写必须真实准确 

第三方CA会验证CSR中的信息（如域名所有权、组织资质），若信息虚假（如填写不存在的公司名称），会直接驳回申请；尤其是“通用名称”，必须与NAS的访问域名/IP完全一致（如域名是“nas.abc.com”，不可填“nas.abc.cn”）。

3. 确认证书格式为X.509 PEM 

Synology NAS仅支持「X.509 PEM格式」的证书，若CA提供的是其他格式（如PFX、DER），需先用工具（如OpenSSL）转换为PEM格式： 

- 例如将PFX格式转为PEM：在电脑命令提示符中执行`openssl pkcs12 -in cert.pfx -out cert.crt -nokeys`（需安装OpenSSL）。

4. DSM版本与私钥格式匹配 

- DSM 7.x支持RSA和ECC两种私钥格式，可根据需求选择（ECC更安全高效）； 

- DSM 6.x仅支持RSA私钥，若在DSM 6.x中创建CSR，不可选择ECC格式，否则会导致后续证书无法导入。

5. 导入前关闭占用证书的服务 

若导入证书时提示“证书正在被使用”，需先停用占用服务（如Synology Drive Server、Cloud Sync）： 

- 进入「套件中心→已安装」，找到对应的套件，点击「停用」； 

- 导入完成后，再重新启用服务，避免服务占用导致导入失败。

五、常见问题解答（FAQ）：解决CSR创建与证书导入的高频疑问

Q1：创建CSR时，“通用名称”填IP还是域名？

A1：根据NAS的访问方式选择： 

- 若通过域名访问NAS（如“nas.yourdomain.com”），通用名称必须填域名（推荐，适合外网访问）； 

- 若仅通过局域网IP访问（如“192.168.1.100”），通用名称填IP； 

- 注意：填IP的CSR申请的证书，仅在局域网内可信，外网访问会提示“证书无效”（因IP无法被CA验证所有权）。

Q2：私钥文件丢失了，能重新创建CSR并使用之前的证书吗？

A2：不能。私钥与CSR、证书是“三位一体”的匹配关系——重新创建的CSR会生成新的私钥，与之前CA签发的证书（基于旧公钥）不匹配，无法导入使用。此时需： 

1. 重新创建新的CSR； 

2. 将新CSR提交给CA，申请重新签发证书； 

3. 用新的私钥和新证书导入NAS。

Q3：导入证书时提示“中间证书缺失”，但CA没提供，怎么办？

A3：分两种情况处理： 

- 若CA明确说明“无需中间证书”（如Let's Encrypt的单域名证书），可忽略该提示，直接点击「确定」，多数情况下仍能正常使用； 

- 若提示“证书链不完整”导致导入失败，需到CA官网下载对应的中间证书（如GeoTrust的中间证书可在其官网“支持中心”找到），再重新导入。

Q4：DSM 7.x创建的ECC格式CSR，能提交给所有第三方CA吗？

A4：多数主流CA（如Let's Encrypt、Cloudflare）支持ECC格式CSR，但部分老旧CA仅支持RSA——建议提交前查看CA的“证书申请指南”，确认支持ECC后再创建，避免白费功夫。

总结：CSR创建是Synology NAS配置可信HTTPS的关键一步

Synology NAS的CSR创建流程虽涉及多个环节，但核心逻辑是“生成身份申请文件→提交CA验证→导入可信证书”。操作时需重点关注： 

- 分DSM版本选择正确的操作路径，避免因界面差异卡壳； 

- 准确填写CSR信息，尤其是“通用名称”，这是证书可信的核心； 

- 严格保护私钥文件，它是NAS安全的“命脉”。 

通过本文的步骤，你可顺利创建CSR并导入第三方可信证书，让Synology NAS的HTTPS连接既安全又无浏览器警告，为文件同步、远程管理等场景提供可靠的安全保障。