宝塔面板免费SSL证书申请续期:宝塔面板免费SSL证书申请与
申请免费 SSL 证书前,先确认这几件事
开始之前请确保你的域名已经解析到服务器 IP,并且宝塔面板(推荐最新稳定版)已经安装在服务器上。
如果还没安装面板,可以在 SSH 终端运行官方安装脚本(CentOS/Ubuntu 通用),几分钟就能装好。
另外,站点根目录必须存在,并且该域名能通过 http 正常访问(例如在浏览器输入 http://你的域名 能看到站点内容)。
这是因为 Let's Encrypt 在颁发证书前需要验证你对域名的控制权,通常通过 http 验证完成。
一步步在宝塔申请免费 SSL 证书
- 登录宝塔面板,进入左侧菜单 网站,找到你要申请证书的站点。
- 点击该站点右侧的 设置 按钮,然后切换到 SSL 标签页。
- 在 SSL 管理界面,选择 Let's Encrypt 选项卡。
- 勾选需要申请证书的域名(通常默认选好主域名,也可以同时勾选 www 子域名)。
- 文件验证 模式最常用,保持默认即可。点击 申请 按钮。
- 等待 10~30 秒,宝塔会自动与 Let's Encrypt 服务器交互,确认域名归属。成功后会弹出提示,并自动开启 强制 HTTPS 开关。
申请过程中如果遇到“验证失败”或“超时”,可以按下一节的避坑方法排查。
自动续期开关在哪里?怎么确认已经开启?
Let's Encrypt 证书有效期为 90 天,宝塔面板默认会在到期前自动续期,但你需要确认这个功能已经打开。
- 回到站点 SSL 设置页面,在 Let's Encrypt 选项卡下方有一个 自动续期 开关。
- 默认是 开启 状态(蓝色按钮)。如果你无意中关掉了,手动打开即可。
- 宝塔会通过计划任务每天检查证书到期情况,在到期前 30 天自动尝试续期。
如果想手动查看计划任务,可以在面板左侧菜单 计划任务 中看到一条名为 [Let's Encrypt] 证书自动续期 的任务,状态应为“正常”。
避坑指南:高频问题与解决方法
- 申请提示“验证失败”:最常见原因是域名还没解析生效,或者解析记录指向了错误的 IP。可以在命令行用
ping 你的域名或nslookup 你的域名确认解析结果。另外,如果你的服务器商会阻断 80 端口(比如某些轻量云服务器默认没放行),需要去安全组/防火墙中放行 http(80) 和 https(443) 端口。 - 申请成功后网站还是提示“不安全”:多是因为浏览器缓存了旧证书,强制刷新(Ctrl+F5)即可。也可以使用在线 SSL 检测工具(比如 ssllabs.com)查验证书状态。
- 自动续期失败:检查宝塔计划任务是否被误删;确保服务器时间准确(使用
date命令查看,如果偏差太大请安装 ntp 同步时间);偶尔 Let's Encrypt 服务端故障,等 1 天再试即可,宝塔会每天重试。
验证证书是否生效与自动续期是否正常运行
- 打开浏览器,地址栏输入
https://你的域名,看地址栏左侧是否出现 锁图标,点击可查看证书详情,颁发者应该是R3或Let's Encrypt。 - 复制以下命令在你的本地终端或服务器 SSH 中执行,可以查看证书到期时间:
echo | openssl s_client -servername 你的域名 -connect 你的域名:443 2>/dev/null | openssl x509 -noout -dates- 如果想手动测试自动续期,可以临时关闭“自动续期”再开启,或登录宝塔计划任务,点击
[Let's Encrypt] 证书自动续期右侧的 执行 按钮,查看执行日志是否提示成功。
如果你的证书有效期剩余天数大于 0,并且强制 HTTPS 正常工作,说明整个流程已经跑通。
以后你几乎不需要再手动操作,宝塔会默默帮你完成免费 SSL 证书的申请和续期。
如果在操作中遇到本文未覆盖的问题,欢迎在评论区留言,我会尽量帮你排查。
