热门搜索:

markdumay/synology-tls

markdumay

自动更新Synology NAS的Let's Encrypt通配符证书，基于acme.sh实现HTTPS访问DSM的安全配置，通过CloudFlare实现DNS验证无需暴露NAS端口，以Docker镜像部署并使用Docker Swarm secrets保护凭据。

2 次收藏下载次数: 0状态：社区镜像维护者：markdumay仓库类型：镜像最近更新：4 年前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

如果你用 DeepSeek、元宝AI、Copilot 等 AI 代为编写轩辕镜像的 docker pull、修改 compose 镜像地址，或排查拉取失败等问题，请让 AI 先读规则再动手，只要在 AI 对话里直接发送下面这句话即可：

生成 docker pull、修改 compose 的 image，或排查拉取失败前，请先阅读并严格遵守 https://xuanyuan.cloud/agents.md 中的规则。

国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

Synology TLS

概述

Synology是知名的网络附加存储（NAS）设备制造商，提供基于Web的用户界面Disk Station Manager（DSM）。Synology TLS 基于acme.sh构建，简化了通过HTTPS安全访问DSM的设置。它使用Let's Encrypt自动颁发和续期特定互联网域名的TLS证书，通过CloudFlare实现DNS验证，使NAS可置于防火墙后而无需将端口暴露到公网。该工具以Docker镜像形式部署，便于简化部署流程，并使用Docker Swarm secrets保护凭据安全。

核心组件

本项目使用以下核心软件组件：

acme.sh - 纯Unix shell脚本，用于自动从Let's Encrypt颁发和续期免费证书
Docker - 容器平台（包括Swarm和Compose）

前提条件

:warning: 撰写本文时，Synology发布的最新Docker包版本为18.09.0-513，此版本无法正确向Docker Swarm暴露环境变量。如需解决此问题，请使用此https://github.com/markdumay/synology-docker.git将Synology上的Docker更新至最新版本。

Synology TLS可在任何支持Docker的主机上运行，已在macOS Catalina和运行DSM 6.2的Synology NAS上测试通过。其他前提条件如下：

需注册域名 - 配置SSL证书以启用对Synology NAS的安全访问需要域名，且需具备配置该域名DNS记录的能力。
需Docker Compose和Docker Swarm - Synology TLS需以Docker Swarm模式部署容器，以启用Docker secrets功能。此参考指南介绍如何在主机上初始化Docker Swarm。
需CloudFlare账户和令牌 - Synology TLS使用CloudFlare自动配置DNS。CloudFlare提供免费计划，足以满足大多数需求。在CloudFlare首页通过“+ Add a Site”向导添加域名，让CloudFlare管理域名DNS。完成后，需为Synology TLS创建API令牌：从CloudFlare首页进入“My Profile ➡ API Tokens”，创建具有“Zone/Zone/Edit”和“Zone/DNS/Edit”权限的令牌，并在“Zone Resources”中包含你的域名。请妥善保存令牌，因其仅显示一次。
需Synology管理员账户 - Synology TLS使用管理员账户自动部署证书，建议创建专用于证书续期的账户。可在DSM中通过“控制面板 ➡ 用户 ➡ 创建”添加用户，确保该账户属于“管理员”组，所有共享文件夹权限设为“无访问”，所有应用权限设为“拒绝”。

测试

建议在部署到NAS前先在本地测试服务。使用docker-compose运行服务可简化验证流程。以下四步可在本地机器上运行服务并验证功能：

步骤1 - 克隆仓库

首先将仓库克隆到本地文件夹。假设已进入目标工作目录，执行以下命令克隆仓库文件（--recurse-submodules确保获取嵌入式子模块），然后进入仓库目录：

console
git clone --recurse-submodules https://github.com/markdumay/synology-tls.git
cd synology-tls

步骤2 - 创建Docker Secrets

由于Docker Compose不支持外部Swarm secrets，测试时需创建本地秘密文件（注意：凭据以明文存储，不建议用于生产环境）。替换以下命令中的CloudFlare（CF_前缀）和Synology（SYNO_）凭据值（见前提条件）：

console
mkdir secrets
printf mail@example.com > secrets/CF_Email.txt
printf password > secrets/CF_Token.txt
printf admin > secrets/SYNO_Username.txt
printf password > secrets/SYNO_Password.txt

步骤3 - 更新环境变量

docker-compose.yml文件使用环境变量简化配置，可使用仓库中的示例文件作为起点：

console
mv sample.env .env

.env文件包含八个变量，需根据需求调整：

变量	默认值	描述
CRON_SCHEDULE	`0 2 * * *`	定义证书自动续期和部署的计划任务时间，同时更新acme.sh脚本。Crontab guru可帮助定义cron计划，默认值`0 2 * * *`表示每天凌晨2点验证证书。
DOMAIN	`example.com`	替换为你的域名（如`example.com`）。
TARGET	`staging`	选项为`staging`或`production`。测试时使用`staging`以避免触发Let's Encrypt的速率限制。
FORCE_RENEW	`false`	若为`true`，强制续期证书（无论是否仍有效），默认值为`false`。
DEPLOY_HOOK	`synology_dsm`	acme.sh脚本支持20种部署钩子，Synology TLS默认使用`synology_dsm`。参考https://github.com/acmesh-official/acme.sh/wiki/deployhooks了解Synology账户双因素认证的支持说明。
SYNO_Certificate		定义在DSM“控制面板 ➡ 安全性 ➡ 证书”中显示的描述。
SYNO_Hostname	`localhost`	Synology NAS的本地网络地址，替换为NAS的本地IP。可在DSM“控制面板 ➡ 信息中心 ➡ 网络”的“LAN 1”下找到该地址。
SYNO_Port	`5000`	DSM监听的HTTP端口，默认值为`5000`。可在DSM“控制面板 ➡ 网络 ➡ DSM设置”中查看当前值。

步骤4 - 运行Docker服务

使用docker-compose up测试Docker服务：

console
docker-compose up

从Docker Hub拉取镜像后，将显示多个消息。以下为关键环节的日志摘录：

服务启动

启动时，Synology TLS会将acme.sh的cron任务替换为.env中定义的自定义任务，cron日志写入'/var/log/acme.log'：

acme_1 | Removing cron job
acme_1 | LE_WORKING_DIR='/root/.acme.sh'
acme_1 | Using stage ACME_DIRECTORY: https://acme-staging-v02.api.letsencrypt.org/directory
acme_1 | Adding custom cron job at '* 2 * * *'
acme_1 | View the cron log in '/var/log/acme.log'

更新acme.sh

acme.sh脚本定期更新，启动时会下载最新版本，并通过cron定期刷新：

acme_1 | Installing from online archive.
acme_1 | Installed to /root/.acme.sh/acme.sh
acme_1 | Upgrade success!

执行DNS-01验证

Synology TLS使用DNS-01挑战让Let's Encrypt验证域名所有权，无需将NAS暴露到公网。通过CloudFlare自动配置DNS，默认请求主域名和通配符证书：

acme_1 | Create account key ok.
acme_1 | Multi domain='DNS:example.com,DNS:*.example.com'
acme_1 | Let's check each dns records now. Sleep 20 seconds first.
acme_1 | Verifying: example.com
acme_1 | Success
acme_1 | Verifying: *.example.com
acme_1 | Success

下载Let's Encrypt证书

DNS-01挑战通过后，Synology TLS会下载证书，证书和密钥存储在挂载目录data/acme/example.com：

acme_1 | Download cert, Le_LinkCert: https://acme-staging-v02.api.letsencrypt.org/acme/cert/xxx
acme_1 | Cert success.
acme_1 | Your cert is in  /acme.sh/example.com/example.com.cer

部署证书到NAS

最后一步是自动将证书部署到Synology NAS：

acme_1 | Logging into localhost:5000
acme_1 | Upload certificate to the Synology DSM
acme_1 | Success

默认情况下，Synology TLS作为后台服务运行，通过每日cron任务验证证书。可通过以下命令查看cron日志：

docker exec synology-tls_acme_1 /bin/sh -c 'cat /var/log/acme.log'

部署

生产环境部署步骤与本地测试略有不同，以下四步突出与测试流程的差异：

步骤1 - 克隆仓库

无变化

步骤2 - 创建Docker Secrets

不再使用基于文件的secrets，而是创建安全的Docker secrets。可通过管道创建secrets（注意末尾的-表示使用管道输入），按需更新凭据：

console
printf mail@example.com | docker secret create CF_Email -
printf password | docker secret create CF_Token -
printf admin | docker secret create SYNO_Username -
printf password | docker secret create SYNO_Password -

若不希望在命令行中直接输入敏感信息，可使用仓库/docker-secret目录下的create_secret.sh脚本，该脚本会提示输入秘密并确保敏感数据不在控制台显示：

console
./create_secret.sh CF_Email
./create_secret.sh CF_Token
./create_secret.sh SYNO_Username
./create_secret.sh SYNO_Password

仓库中的docker-compose.yml默认配置用于本地测试，需更新secrets部分以使用Docker secrets：

Dockerfile
secrets:
    CF_Email:
        external: true
    CF_Token:
        external: true
    SYNO_Username:
        external: true
    SYNO_Password:
        external: true

步骤3 - 更新环境变量

无变化，但需在确认一切正常后将TARGET设为production

步骤4 - 运行Docker服务

生产环境中需将Docker服务部署到Docker Stack。与Docker Compose不同，Docker Stack不会自动创建本地文件夹，需先创建acme.sh数据和日志的空文件夹，然后使用docker-compose作为输入部署Docker Stack（确保环境变量正确解析）：

console
mkdir -p data/acme
mkdir -p data/log
docker-compose config | docker stack deploy -c - synology-tls

通过以下命令检查Docker Stack状态：

console
docker stack services synology-tls

若Stack初始化正确，Synology TLS服务的REPLICAS值应为1/1。服务启动可能需要几分钟，可稍后重复执行命令检查：

ID  NAME                MODE        REPLICAS    IMAGE                               PORTS
*** synology-tls_acme   replicated  1/1         markdumay/synology-tls:2.8.6

服务运行后，可通过docker service logs synology-tls_acme查看服务日志，参考步骤4 - 运行Docker服务中的日志验证方法。

调试Swarm服务可能较复杂，若服务未正常启动，可通过docker service ps synology-tls_acme获取任务ID，运行docker inspect <task-id>排查问题。使用docker stack rm synology-tls可完全移除Docker Stack。

使用

已安装的证书可在DSM中通过“控制面板 ➡ 安全性 ➡ 证书”查看，点击“配置”按钮可将证书分配给服务。

贡献

克隆仓库并创建新分支

$ git checkout https://github.com/markdumay/synology-tls.git -b name_for_new_branch

进行并测试更改
提交Pull Request并附详细更改说明

鸣谢

Synology TLS受以下代码仓库和博客文章启发：

Neilpang - acme.sh的所有者和维护者
Markus Lippert - 使用DNS-01挑战在Synology NAS上自动续期Let's Encrypt证书
xFelix - Synology Let's Encrypt DNS-01证书颁发与安装
Luka Manestar - Let's Encrypt + Docker = 通配符证书

***

许可

https://github.com/markdumay/synology-tls/blob/master/LICENSE

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 synology-tls 镜像标签

docker pull docker.xuanyuan.run/markdumay/synology-tls:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull markdumay/synology-tls:<标签>

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

用 AI 使用轩辕镜像

发给 Cursor、ChatGPT、豆包等 AI 的说明文档

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

Harbor 镜像源配置

Harbor Proxy Repository 对接专属域名

Portainer 镜像源配置

Portainer Registries 加速拉取

Nexus 镜像源配置

Nexus3 Docker Proxy 内网缓存

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

docker search 限制

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

站内搜不到镜像

机器不能直连外网时，怎么用 docker save / load 迁镜像？

离线 save/load

docker pull 拉插件报错（plugin v1+json）怎么办？

插件要用 plugin install

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

WSL 拉取慢

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

安全与 digest

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

新手拉取配置

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

镜像合规机制

轩辕镜像支持 docker push 上传本地镜像吗？

不支持 push

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

manifest unknown

docker pull 提示 no matching manifest 怎么办？

no matching manifest（架构）

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

invalid tar header（解压）

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

TLS 证书失败

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

DNS 超时

docker 无法连接轩辕镜像域名怎么办？

域名连通性排查

Docker 拉取出现 410 Gone 怎么办？

410 Gone 排查

出现 402 或「流量用尽」提示怎么办？

402 与流量用尽

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

401 认证失败

遇到 429 Too Many Requests（请求太频繁）怎么办？

429 限流

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

D-Bus 凭证提示

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

413 与超大单层

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

免费版与专业版区别

轩辕镜像支持哪些 Docker 镜像仓库？

支持的镜像仓库

镜像拉取失败还会不会扣流量？

失败是否计费

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

KYSEC 拦截脚本

如何在轩辕镜像申请开发票？

申请开发票（企业 / 个人）

怎么修改轩辕镜像的网站登录和仓库登录密码？

修改登录密码

如何注销轩辕镜像账户？要注意什么？

注销账户

配置与原理类

写了 registry-mirrors，为什么还是走官方或仍然报错？

mirrors 不生效

怎么用 docker tag 去掉镜像名里的轩辕域名前缀？

去掉域名前缀

如何拉取指定 CPU 架构的镜像（如 ARM64、AMD64）？

指定架构拉取

用轩辕镜像拉镜像时快时慢，常见原因有哪些？

拉取速度原因

为什么拉取镜像的 :latest 标签，拿到的往往不是「最新」镜像？

latest 与「最新」

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"

热门搜索:

markdumay/synology-tls

markdumay

自动更新Synology NAS的Let's Encrypt通配符证书，基于acme.sh实现HTTPS访问DSM的安全配置，通过CloudFlare实现DNS验证无需暴露NAS端口，以Docker镜像部署并使用Docker Swarm secrets保护凭据。

2 次收藏下载次数: 0状态：社区镜像维护者：markdumay仓库类型：镜像最近更新：4 年前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

生成 docker pull、修改 compose 的 image，或排查拉取失败前，请先阅读并严格遵守 https://xuanyuan.cloud/agents.md 中的规则。

镜像标签列表与下载命令

Synology TLS

概述

核心组件

本项目使用以下核心软件组件：

acme.sh - 纯Unix shell脚本，用于自动从Let's Encrypt颁发和续期免费证书
Docker - 容器平台（包括Swarm和Compose）

前提条件

:warning: 撰写本文时，Synology发布的最新Docker包版本为18.09.0-513，此版本无法正确向Docker Swarm暴露环境变量。如需解决此问题，请使用此https://github.com/markdumay/synology-docker.git将Synology上的Docker更新至最新版本。

Synology TLS可在任何支持Docker的主机上运行，已在macOS Catalina和运行DSM 6.2的Synology NAS上测试通过。其他前提条件如下：

需注册域名 - 配置SSL证书以启用对Synology NAS的安全访问需要域名，且需具备配置该域名DNS记录的能力。
需Docker Compose和Docker Swarm - Synology TLS需以Docker Swarm模式部署容器，以启用Docker secrets功能。此参考指南介绍如何在主机上初始化Docker Swarm。
需CloudFlare账户和令牌 - Synology TLS使用CloudFlare自动配置DNS。CloudFlare提供免费计划，足以满足大多数需求。在CloudFlare首页通过“+ Add a Site”向导添加域名，让CloudFlare管理域名DNS。完成后，需为Synology TLS创建API令牌：从CloudFlare首页进入“My Profile ➡ API Tokens”，创建具有“Zone/Zone/Edit”和“Zone/DNS/Edit”权限的令牌，并在“Zone Resources”中包含你的域名。请妥善保存令牌，因其仅显示一次。
需Synology管理员账户 - Synology TLS使用管理员账户自动部署证书，建议创建专用于证书续期的账户。可在DSM中通过“控制面板 ➡ 用户 ➡ 创建”添加用户，确保该账户属于“管理员”组，所有共享文件夹权限设为“无访问”，所有应用权限设为“拒绝”。

测试

建议在部署到NAS前先在本地测试服务。使用docker-compose运行服务可简化验证流程。以下四步可在本地机器上运行服务并验证功能：

步骤1 - 克隆仓库

console
git clone --recurse-submodules https://github.com/markdumay/synology-tls.git
cd synology-tls

步骤2 - 创建Docker Secrets

console
mkdir secrets
printf mail@example.com > secrets/CF_Email.txt
printf password > secrets/CF_Token.txt
printf admin > secrets/SYNO_Username.txt
printf password > secrets/SYNO_Password.txt

步骤3 - 更新环境变量

docker-compose.yml文件使用环境变量简化配置，可使用仓库中的示例文件作为起点：

console
mv sample.env .env

.env文件包含八个变量，需根据需求调整：

变量	默认值	描述
CRON_SCHEDULE	`0 2 * * *`	定义证书自动续期和部署的计划任务时间，同时更新acme.sh脚本。Crontab guru可帮助定义cron计划，默认值`0 2 * * *`表示每天凌晨2点验证证书。
DOMAIN	`example.com`	替换为你的域名（如`example.com`）。
TARGET	`staging`	选项为`staging`或`production`。测试时使用`staging`以避免触发Let's Encrypt的速率限制。
FORCE_RENEW	`false`	若为`true`，强制续期证书（无论是否仍有效），默认值为`false`。
DEPLOY_HOOK	`synology_dsm`	acme.sh脚本支持20种部署钩子，Synology TLS默认使用`synology_dsm`。参考https://github.com/acmesh-official/acme.sh/wiki/deployhooks了解Synology账户双因素认证的支持说明。
SYNO_Certificate		定义在DSM“控制面板 ➡ 安全性 ➡ 证书”中显示的描述。
SYNO_Hostname	`localhost`	Synology NAS的本地网络地址，替换为NAS的本地IP。可在DSM“控制面板 ➡ 信息中心 ➡ 网络”的“LAN 1”下找到该地址。
SYNO_Port	`5000`	DSM监听的HTTP端口，默认值为`5000`。可在DSM“控制面板 ➡ 网络 ➡ DSM设置”中查看当前值。

步骤4 - 运行Docker服务

使用docker-compose up测试Docker服务：

console
docker-compose up

从Docker Hub拉取镜像后，将显示多个消息。以下为关键环节的日志摘录：

服务启动

启动时，Synology TLS会将acme.sh的cron任务替换为.env中定义的自定义任务，cron日志写入'/var/log/acme.log'：

acme_1 | Removing cron job
acme_1 | LE_WORKING_DIR='/root/.acme.sh'
acme_1 | Using stage ACME_DIRECTORY: https://acme-staging-v02.api.letsencrypt.org/directory
acme_1 | Adding custom cron job at '* 2 * * *'
acme_1 | View the cron log in '/var/log/acme.log'

更新acme.sh

acme.sh脚本定期更新，启动时会下载最新版本，并通过cron定期刷新：

acme_1 | Installing from online archive.
acme_1 | Installed to /root/.acme.sh/acme.sh
acme_1 | Upgrade success!

执行DNS-01验证

Synology TLS使用DNS-01挑战让Let's Encrypt验证域名所有权，无需将NAS暴露到公网。通过CloudFlare自动配置DNS，默认请求主域名和通配符证书：

acme_1 | Create account key ok.
acme_1 | Multi domain='DNS:example.com,DNS:*.example.com'
acme_1 | Let's check each dns records now. Sleep 20 seconds first.
acme_1 | Verifying: example.com
acme_1 | Success
acme_1 | Verifying: *.example.com
acme_1 | Success

下载Let's Encrypt证书

DNS-01挑战通过后，Synology TLS会下载证书，证书和密钥存储在挂载目录data/acme/example.com：

acme_1 | Download cert, Le_LinkCert: https://acme-staging-v02.api.letsencrypt.org/acme/cert/xxx
acme_1 | Cert success.
acme_1 | Your cert is in  /acme.sh/example.com/example.com.cer

部署证书到NAS

最后一步是自动将证书部署到Synology NAS：

acme_1 | Logging into localhost:5000
acme_1 | Upload certificate to the Synology DSM
acme_1 | Success

默认情况下，Synology TLS作为后台服务运行，通过每日cron任务验证证书。可通过以下命令查看cron日志：

docker exec synology-tls_acme_1 /bin/sh -c 'cat /var/log/acme.log'

部署

生产环境部署步骤与本地测试略有不同，以下四步突出与测试流程的差异：

步骤1 - 克隆仓库

无变化

步骤2 - 创建Docker Secrets

不再使用基于文件的secrets，而是创建安全的Docker secrets。可通过管道创建secrets（注意末尾的-表示使用管道输入），按需更新凭据：

console
printf mail@example.com | docker secret create CF_Email -
printf password | docker secret create CF_Token -
printf admin | docker secret create SYNO_Username -
printf password | docker secret create SYNO_Password -

若不希望在命令行中直接输入敏感信息，可使用仓库/docker-secret目录下的create_secret.sh脚本，该脚本会提示输入秘密并确保敏感数据不在控制台显示：

console
./create_secret.sh CF_Email
./create_secret.sh CF_Token
./create_secret.sh SYNO_Username
./create_secret.sh SYNO_Password

仓库中的docker-compose.yml默认配置用于本地测试，需更新secrets部分以使用Docker secrets：

Dockerfile
secrets:
    CF_Email:
        external: true
    CF_Token:
        external: true
    SYNO_Username:
        external: true
    SYNO_Password:
        external: true

步骤3 - 更新环境变量

无变化，但需在确认一切正常后将TARGET设为production

步骤4 - 运行Docker服务

console
mkdir -p data/acme
mkdir -p data/log
docker-compose config | docker stack deploy -c - synology-tls

通过以下命令检查Docker Stack状态：

console
docker stack services synology-tls

若Stack初始化正确，Synology TLS服务的REPLICAS值应为1/1。服务启动可能需要几分钟，可稍后重复执行命令检查：

ID  NAME                MODE        REPLICAS    IMAGE                               PORTS
*** synology-tls_acme   replicated  1/1         markdumay/synology-tls:2.8.6

服务运行后，可通过docker service logs synology-tls_acme查看服务日志，参考步骤4 - 运行Docker服务中的日志验证方法。

使用

已安装的证书可在DSM中通过“控制面板 ➡ 安全性 ➡ 证书”查看，点击“配置”按钮可将证书分配给服务。

贡献

克隆仓库并创建新分支

$ git checkout https://github.com/markdumay/synology-tls.git -b name_for_new_branch

进行并测试更改
提交Pull Request并附详细更改说明

鸣谢

Synology TLS受以下代码仓库和博客文章启发：

Neilpang - acme.sh的所有者和维护者
Markus Lippert - 使用DNS-01挑战在Synology NAS上自动续期Let's Encrypt证书
xFelix - Synology Let's Encrypt DNS-01证书颁发与安装
Luka Manestar - Let's Encrypt + Docker = 通配符证书

***

许可

https://github.com/markdumay/synology-tls/blob/master/LICENSE

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 synology-tls 镜像标签

docker pull docker.xuanyuan.run/markdumay/synology-tls:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull markdumay/synology-tls:<标签>

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

用 AI 使用轩辕镜像

发给 Cursor、ChatGPT、豆包等 AI 的说明文档

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

Harbor 镜像源配置

Harbor Proxy Repository 对接专属域名

Portainer 镜像源配置

Portainer Registries 加速拉取

Nexus 镜像源配置

Nexus3 Docker Proxy 内网缓存

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

docker search 限制

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

站内搜不到镜像

机器不能直连外网时，怎么用 docker save / load 迁镜像？

离线 save/load

docker pull 拉插件报错（plugin v1+json）怎么办？

插件要用 plugin install

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

WSL 拉取慢

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

安全与 digest

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

新手拉取配置

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

镜像合规机制

轩辕镜像支持 docker push 上传本地镜像吗？

不支持 push

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

manifest unknown

docker pull 提示 no matching manifest 怎么办？

no matching manifest（架构）

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

invalid tar header（解压）

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

TLS 证书失败

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

DNS 超时

docker 无法连接轩辕镜像域名怎么办？

域名连通性排查

Docker 拉取出现 410 Gone 怎么办？

410 Gone 排查

出现 402 或「流量用尽」提示怎么办？

402 与流量用尽

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

401 认证失败

遇到 429 Too Many Requests（请求太频繁）怎么办？

429 限流

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

D-Bus 凭证提示

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

413 与超大单层

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

免费版与专业版区别

轩辕镜像支持哪些 Docker 镜像仓库？

支持的镜像仓库

镜像拉取失败还会不会扣流量？

失败是否计费

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

KYSEC 拦截脚本

如何在轩辕镜像申请开发票？

申请开发票（企业 / 个人）

怎么修改轩辕镜像的网站登录和仓库登录密码？

修改登录密码

如何注销轩辕镜像账户？要注意什么？

注销账户

配置与原理类

写了 registry-mirrors，为什么还是走官方或仍然报错？

mirrors 不生效

怎么用 docker tag 去掉镜像名里的轩辕域名前缀？

去掉域名前缀

如何拉取指定 CPU 架构的镜像（如 ARM64、AMD64）？

指定架构拉取

用轩辕镜像拉镜像时快时慢，常见原因有哪些？

拉取速度原因

为什么拉取镜像的 :latest 标签，拿到的往往不是「最新」镜像？

latest 与「最新」

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"

markdumay/synology-tls

自动更新Synology NAS的Let's Encrypt通配符证书，基于acme.sh实现HTTPS访问DSM的安全配置，通过CloudFlare实现DNS验证无需暴露NAS端口，以Docker镜像部署并使用Docker Swarm secrets保护凭据。

Synology TLS

概述

核心组件

前提条件

测试

步骤1 - 克隆仓库

步骤2 - 创建Docker Secrets

步骤3 - 更新环境变量

步骤4 - 运行Docker服务

部署

步骤1 - 克隆仓库

步骤2 - 创建Docker Secrets

步骤3 - 更新环境变量

步骤4 - 运行Docker服务

使用

贡献

鸣谢

***

许可

镜像拉取方式

轩辕镜像加速拉取命令点我查看更多 synology-tls 镜像标签

DockerHub 原生拉取命令

更多 synology-tls 镜像推荐

synology/synology-csi

synology/gitlab

synology/ldap-agent

synology/watchtower

jparklab/synology-csi

nzben/plex-synology

查看更多 synology-tls 相关镜像

轩辕镜像配置手册

Docker 配置

登录仓库拉取

用 AI 使用轩辕镜像

专属域名拉取

K8s Containerd

K3s

Dev Containers

Podman

Singularity/Apptainer

其他仓库配置

Harbor 镜像源配置

Portainer 镜像源配置

Nexus 镜像源配置

系统配置

Linux

Windows/Mac

MacOS OrbStack

Docker Compose

NAS 设备

群晖

飞牛

绿联

威联通

极空间

网络设备

爱快路由

宝塔面板

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

机器不能直连外网时，怎么用 docker save / load 迁镜像？

docker pull 拉插件报错（plugin v1+json）怎么办？

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

轩辕镜像支持 docker push 上传本地镜像吗？

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

docker pull 提示 no matching manifest 怎么办？

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

docker 无法连接轩辕镜像域名怎么办？

Docker 拉取出现 410 Gone 怎么办？

出现 402 或「流量用尽」提示怎么办？