🔐 Let's Encrypt Zertifikate mit acme.sh und Synology DSM

🧭 Ausgangslage

Mein Synology NAS war bisher direkt von außen über Port 80 und 443 erreichbar. Für meine Docker-Container nutzte ich den eingebauten Reverse Proxy von Synology, inklusive Zertifikatsverwaltung via HTTP-Challenge.

Obwohl das grundsätzlich funktioniert, gab es in der Praxis immer wieder Probleme:

• Kein Redirect von HTTP → HTTPS
• WebSocket-Verbindungen teilweise instabil
• Zertifikatserneuerung nicht immer zuverlässig

Daher entschied ich mich für eine neue Lösung:
Ein NGINX Proxy Manager über Docker, ergänzt mit einem eigenen acme.sh-Container, der gültige Let's Encrypt Zertifikate über die DNS-01-Challenge bei Hurricane Electric erstellt und automatisch im DSM bereitstellt.

---

🛠 Voraussetzungen

• Synology DSM 7 oder höher
• Docker / Container Manager bereits installiert
• SSH-Zugriff aktiviert
• Ordnerstruktur auf dem NAS: /volume1/docker/acme/config

---

👤 Benutzer & 2FA vorbereiten

1. Neuen Benutzer acme anlegen
2. Mitglied der Administratorengruppe
3. Zugriff nur auf DSM-Dienst

4. Passwort sicher notieren

5. 2-Faktor-Authentifizierung einrichten

6. Mit dem Benutzer acme einloggen

7. TOTP-Secret notieren (nicht nur den QR-Code scannen)

8. UID und GID ermitteln ```bash id acme