Você não pode atribuir um certificado "vamos criptografar" a um endereço IP, especialmente porque a maioria dos ISPs está fornecendo IPs temporários a seus clientes. Isso significa que seu endereço IP está sujeito a alterações a cada poucos dias ou, pelo menos, a cada reconexão. Você precisa obter um nome de domínio para atribuir o certificado, pelo menos, um livre.
Além disso, você precisa encaminhar as portas 80 e 443 para o seu NAS para verificar a criptografia. Ele certamente não procurará a porta 5001 para verificar se o sistema do qual o certificado é solicitado realmente pertence a esse nome de domínio. Pelo menos para o processo de verificação (que se repete toda vez que o certificado é renovado), essas portas precisam ser encaminhadas.
E, como mencionado nos comentários, não é aconselhável encaminhar a porta 5001 para sua sinologia, já que esta é a interface de administração da web e dá acesso completo ao seu sistema se alguém tiver as credenciais corretas ou uma vulnerabilidade de segurança. Portanto, use VPN ou exponha serviços não privilegiados somente à Internet global. Há um ponto em ter um firewall no seu roteador.
Naturalmente, você sempre pode usar um certificado autoassinado, embora isso não ofereça o mesmo grau de segurança. Mas você pode confiar no certificado autoassinado no seu navegador uma vez, e você será notificado se o certificado for alterado, por exemplo, alguém está espionando você.