Let's-Encrypt-Zertifikat für Deine Synology einrichten

DSM kommt aus der Box mit einem selbstsignierten Zertifikat — was den Browser jedes Mal warnen lässt und Apps wie Drive Client manchmal verwirrt. Mit einem Zertifikat von Let’s Encrypt verschwindet die Warnung, und alle Apps funktionieren ohne Workarounds.

Voraussetzung: eine eigene Domain, die auf Deine Synology zeigt. Wenn Du noch keine hast, schau in Eigene Domain auf Synology zeigen.

Wie Let’s Encrypt funktioniert

Let’s Encrypt ist eine kostenfreie Zertifizierungsstelle. Sie stellt SSL-Zertifikate für Domains aus, sobald Du nachweisen kannst, dass Du diese Domain kontrollierst. Der Nachweis läuft über die HTTP-01-Challenge: Let’s Encrypt schickt eine Anfrage an http://deine-domain/.well-known/acme-challenge/<token>, Deine Synology muss mit dem richtigen Token antworten.

DSM macht das alles automatisch — Du musst nur die Domain angeben.

Wichtig: Port 80 und 443 müssen von außen auf Deine Synology erreichbar sein. Bei uns ist das Standard, weil Deine NAS eine eigene öffentliche IPv4 hat.

Zertifikat im DSM beantragen

1. Systemsteuerung → Sicherheit → Zertifikat.
2. Hinzufügen → Zertifikat hinzufügen → Zertifikat von Let’s Encrypt abrufen.
3. Domain-Name: Deine Domain (z.B. nas.deinname.de).
4. E-Mail: Deine Mailadresse — bekommst Erinnerungen, falls Renewal scheitert.
5. Alternative Namen: optional weitere Subdomains (etwa drive.deinname.de, photos.deinname.de), durch Komma getrennt.
6. Übernehmen.

DSM kontaktiert Let’s Encrypt, der HTTP-01-Challenge wird durchgeführt, das Zertifikat wird abgerufen und installiert. Dauert typisch 30–60 Sekunden.

Standard-Zertifikat festlegen

Nach dem Abruf hast Du jetzt zwei Zertifikate: das alte selbstsignierte und das neue Let’s Encrypt. Du musst DSM sagen, welches er für welchen Service nutzt.

Systemsteuerung → Sicherheit → Zertifikat:

• Auf das Let’s-Encrypt-Zertifikat klicken → Konfigurieren.
• Im Dialog für jeden Dienst (DSM, Drive, Photos, WebDAV) das Let’s-Encrypt-Zertifikat auswählen.
• Speichern.

Du kannst auch das Let’s-Encrypt-Zertifikat als Standard markieren — dann nutzen alle neuen Dienste es automatisch.

Auto-Renewal

Let’s-Encrypt-Zertifikate sind 90 Tage gültig. DSM erneuert sie automatisch ab dem 60. Tag — Du musst nichts tun.

Wenn Renewal scheitert, bekommst Du eine Mail (sofern E-Mail-Benachrichtigungen aktiv sind). Häufige Ursachen:

• Domain zeigt nicht mehr auf die richtige IP: Du hast die NAS umgezogen oder DNS geändert. Lösung: DNS prüfen.
• Port 80 ist von außen nicht erreichbar: Selten, weil bei uns standardmäßig offen. Aber wenn Du selbst Firewall-Regeln gebaut hast, prüfen.
• Let’s Encrypt Rate Limit: bei mehrfachem Fail innerhalb kurzer Zeit blockt LE. Warten und am nächsten Tag erneut versuchen.

Multi-Domain-Zertifikat (SAN)

Wenn Du mehrere Subdomains hast — nas.deinname.de, drive.deinname.de, photos.deinname.de — kannst Du eine Zertifikat für alle ausstellen, das ist effizienter als drei separate.

Bei der Beantragung im Alternative Namen-Feld die zusätzlichen Domains kommagetrennt eintragen. Wichtig: jede dieser Domains muss aktuell auf Deine Synology zeigen, sonst scheitert die Challenge für die betroffene Subdomain.

Wildcard-Zertifikate

Let’s Encrypt unterstützt Wildcard-Zertifikate (z.B. *.deinname.de). DSM kann das ab Version 7 — der Setup-Pfad ist allerdings anders, weil Wildcard nur über DNS-01-Challenge geht (nicht HTTP-01).

DNS-01-Challenge bedeutet: DSM muss einen TXT-Eintrag in Deinem DNS setzen können. Das geht nur, wenn Dein DNS-Anbieter eine API hat, die DSM unterstützt — Cloudflare zum Beispiel funktioniert.

Aus unserer Erfahrung: wenn Du nur 2–3 Subdomains hast, ist Multi-Domain-SAN einfacher als Wildcard. Wildcard lohnt sich erst bei vielen unbekannten Subdomains.

Custom-Zertifikate (eigenes / kostenpflichtig)

Falls Du ein kostenpflichtiges Zertifikat von Sectigo, DigiCert oder anderen hast: in Zertifikat hinzufügen → Zertifikat importieren kannst Du PEM-Files hochladen.

Aus unserer Praxis: für Privatkunden lohnt sich das nicht. Let’s Encrypt hat technisch die gleiche Stärke. Kostenpflichtige Zertifikate machen nur Sinn bei Unternehmens-Compliance-Anforderungen oder Extended-Validation.

Häufige Fragen

Ich nutze die xaweho.de-Subdomain — kann ich Let’s Encrypt darauf? Nein, weil Du den DNS-Eintrag nicht selbst kontrollierst. Wir richten auf der 12345.nas.xaweho.de-Subdomain auf Wunsch ein Zertifikat ein, sprich uns an. Für eigenes Zertifikat-Management brauchst Du eine eigene Domain.

Mein Renewal schlägt seit zwei Wochen fehl, was tun? Schreib uns ein Ticket. Wir checken, ob Port 80 wirklich erreichbar ist, ob DNS korrekt zeigt, ob LE Dich nicht im Rate Limit hat. Im Notfall können wir das Zertifikat auf unserer Seite neu ausstellen.

Funktioniert HTTP-01 für DSM auf einem Custom Port? Nein. HTTP-01 verlangt Port 80. DSM auf Custom Port (z.B. 5001) ist okay, aber Port 80 muss zumindest für die Renewal-Challenge frei sein.

Was, wenn ich Cloudflare als Proxy davor habe? Cloudflare in „Proxy”-Modus (orange Cloud) routet den Traffic über Cloudflare. HTTP-01-Challenge wird dadurch geblockt, weil sie an die Cloudflare-IP geht statt an Deine Synology. Lösung: Cloud auf grau (“DNS only”) setzen während Renewal, oder DNS-01-Challenge mit Cloudflare-API.

Kann ich das Zertifikat auch für meinen eigenen Webserver auf der Synology nutzen? Ja. Wenn Du Web Station oder einen anderen Dienst auf der NAS betreibst: in Systemsteuerung → Anmeldeportal das Zertifikat dem Reverse Proxy zuweisen.

Wie sehe ich, wann das Zertifikat abläuft? Systemsteuerung → Sicherheit → Zertifikat — Spalte „Ablaufdatum”. DSM warnt 30 Tage vor Ablauf, falls Renewal nicht funktioniert.

Kann ich mehrere Let’s-Encrypt-Zertifikate auf der gleichen NAS haben? Ja, beliebig viele. Pro Domain ein eigenes oder Multi-Domain-SAN. In der Praxis genügt aber ein einziges Multi-Domain-Zertifikat für alle Subdomains.

Weiter geht’s

• Eigene Domain auf Synology zeigen
• Admin-Account auf der Synology absichern
• WebDAV aktivieren und nutzen