一、前言：HTTPS——Synology NAS 数据传输的 “安全屏障”

• DSM 版本要求：需 DSM 6.2 及以上版本（官方推荐 DSM 7.x，界面更直观，支持 Let's Encrypt 自动续期）；

• • 检查方法：登录 DSM→控制面板→系统→系统信息，查看 “DSM 版本”；

• 网络环境要求：若需公网访问，需提前准备已备案的域名（如nas.example.com），并完成域名解析（将域名指向 NAS 公网 IP）；

• 权限要求：需使用 DSM 管理员账号操作（普通用户无 “安全设置”“证书管理” 权限）。

关键结论：本文重点讲解 “CA 证书” 配置流程（含 CSR 创建），自签名证书仅需在启用 HTTPS 时选择 “生成自签名证书”，步骤更简单，无需 CSR 环节。

1. 登录 DSM 桌面，打开 “控制面板”，在左侧菜单中找到 “安全” 并点击；

2. 切换到 “常规” 选项卡，找到 “HTTPS/SSL” 板块：

• • 勾选 “启用 HTTPS 服务”；

• • 设置 HTTPS 端口：默认 443（推荐公网使用，需在路由器开放 443 端口），若 443 被占用（如其他服务使用），可修改为 8443、9443 等非标准端口（需记录，访问时需加端口，如https://nas.example.com:8443）；

3. 点击 “应用” 保存设置，此时 DSM 已启用 HTTPS 服务，但因未配置有效证书，浏览器访问会提示 “证书错误”（后续导入 CA 证书后可解决）。

1. 在 “安全” 设置中，切换到 “证书” 选项卡，点击 “创建证书签名请求（CSR） ”；

2. 进入 CSR 创建向导，按要求填写 “证书信息”（所有字段需真实准确，CA 机构会验证部分信息）：

• • 通用名（Common Name）：最关键字段，必须填写已解析的域名（如nas.example.com），若填写 IP 或错误域名，CA 会拒绝签发证书；

• • 组织（Organization）：填写企业名称或个人姓名（个人用户可填真实姓名）；

• • 组织单位（Organizational Unit）：填写部门（如 “技术部”，个人用户可填 “个人”）；

• • 城市（Locality）：填写所在城市（如 “北京市”，需与实际地址一致）；

• • 州 / 省（State/Province）：填写所在省份（如 “北京市”“广东省”，不可缩写）；

• • 国家 / 地区（Country/Region）：选择 “CN”（中国）；

• • 电子邮件（Email）：填写常用邮箱，CA 机构会发送证书签发通知、过期提醒；

3. 选择 “密钥长度”：

• • 推荐 “2048 位”（平衡安全性与性能，多数 CA 机构支持）；

• • 追求更高安全可选择 “4096 位”（加密更强，但部分旧设备可能不兼容，且 HTTPS 握手速度略慢）；

4. 点击 “下一步”，系统生成 CSR 文本与私钥：

• • 复制 CSR 文本：将 “证书签名请求（CSR）” 框中的所有文本（含 “-----BEGIN CERTIFICATE REQUEST-----” 和 “-----END CERTIFICATE REQUEST-----”）复制到记事本，保存为 “nas_csr.txt”（后续提交 CA 需用）；

• • 保存私钥：点击 “下载私钥”，将私钥文件（.key 格式）保存到安全位置（如加密 U 盘，私钥泄露会导致证书被伪造，绝对不能公开）；

5. 点击 “完成”，CSR 创建成功，此时 DSM “证书” 列表中会显示 “待导入 CA 证书” 的记录。

1. 访问 Let's Encrypt 官方推荐的申请工具（如 “Certbot” 或在线工具 “SSL For Free”），此处以 “SSL For Free” 为例：

• • 打开网站（https://www.sslforfree.com/），在输入框中填写 CSR 中的 “通用名”（如nas.example.com），点击 “Create Free SSL Certificate”；

2. 选择验证方式（需证明你拥有该域名，二选一）：

• • DNS 验证（推荐，适合无公网服务器场景）：

1. 1. 1. 工具会生成一条 DNS TXT 记录（如 “_acme-challenge.nas.example.com” 对应值 “abc123...”）；

1. 1. 2. 登录你的域名服务商（如阿里云），进入域名解析界面，添加 “TXT” 记录，主机记录填 “_acme-challenge”，记录值填工具生成的字符串，TTL 设为 “600 秒”；

1. 1. 3. 等待 10-15 分钟（DNS 生效时间），点击工具中的 “Verify DNS”，验证通过后进入下一步；

• • 文件验证（需 NAS 可公网访问）：

1. 1. 1. 工具生成一个验证文件（如 “abc123.txt”）；

1. 1. 2. 登录 DSM→File Station，在 “web” 共享文件夹下创建 “.well-known/acme-challenge” 目录（注意目录名前有 “.”，需开启 “显示隐藏文件”）；

1. 1. 3. 将验证文件上传到该目录，确保通过 “http://nas.example.com/.well-known/acme-challenge/abc123.txt” 可访问，再点击 “Verify File Upload”；

3. 验证通过后，Let's Encrypt 会生成 CA 证书，包含三个文件：

• • “certificate.crt”（证书文件）；

• • “private.key”（私钥，若已在 NAS 生成私钥，可忽略此文件，使用 NAS 的私钥）；

• • “ca_bundle.crt”（根证书链，必需，用于浏览器信任）；

4. 点击 “Download All SSL Certificate Files”，将三个文件下载到本地，准备导入 NAS。

1. 回到 DSM“安全→证书” 界面，选中之前创建的 “待导入 CA 证书” 记录，点击 “导入证书”；

2. 在导入窗口中，按要求上传文件：

• • 证书文件（公钥）：选择下载的 “certificate.crt”；

• • 私钥文件：选择在 NAS 创建 CSR 时下载的私钥（.key 文件），切勿使用 Let's Encrypt 提供的 private.key（避免私钥不匹配）；

• • 中间证书：选择下载的 “ca_bundle.crt”（部分 CA 机构称为 “chain.crt”，必需，否则浏览器可能提示 “证书链不完整”）；

3. 点击 “确定”，系统验证证书有效性，验证通过后，证书状态变为 “正常”；

4. 设置默认证书：在 “证书” 列表中，勾选刚导入的 CA 证书，点击 “设为默认证书”，确保 DSM、File Station 等服务优先使用该证书；

5. 绑定服务（可选，精细化控制）：

• • 点击 “配置”，在弹出的窗口中，选择需要启用 HTTPS 的服务（如 “DSM”“Synology Drive”“File Station”）；

• • 确保服务对应的 “证书” 选择刚导入的 CA 证书，点击 “确定”。

1. 局域网验证：打开浏览器，输入 “https://NAS 局域网 IP:HTTPS 端口”（如https://192.168.1.100:443），浏览器地址栏显示 “绿色安全锁”，无证书错误提示，说明配置成功；

2. 公网验证（若已做域名解析）：输入 “https:// 域名：HTTPS 端口”（如https://nas.example.com），同样显示绿色安全锁，可正常登录 DSM，说明公网 HTTPS 生效。

1. 证书续期提醒：Let's Encrypt 证书有效期为 90 天，需提前 15 天重新申请（DSM 7.x 可安装 “Let's Encrypt” 套件，实现自动续期，无需手动操作）；

2. 私钥安全保管：私钥是证书的核心，需保存到加密存储设备（如加密 U 盘），切勿上传到公网或分享给他人，若私钥泄露，需立即吊销旧证书，重新创建 CSR 与申请证书；

3. 避免混用证书类型：不要同时使用自签名证书与 CA 证书，若需切换，需先删除旧证书，再导入新证书，避免证书冲突导致服务异常；

4. 定期检查证书状态：每月登录 DSM“安全→证书” 界面，查看证书 “有效期”，确保未过期，同时检查 “证书链” 是否完整（无 “中间证书缺失” 提示）。