DNS验证失败时应改用文件验证:在宝塔SSL设置中取消DNS验证勾选、选HTTP验证;检查并修改Nginx配置以允许.well-known路径访问;必要时手动创建验证文件、关闭CDN或使用acme.sh命令行工具。
如果您在宝塔面板中为域名申请或续签SSL证书时收到“DNS验证失败”的提示,说明ACME协议尝试通过DNS记录验证域名所有权的过程未成功。此时可将验证方式由DNS更改为文件验证(HTTP-01),该方式依赖于在网站根目录下放置指定验证文件。以下是具体操作步骤:
一、在宝塔面板中手动切换为文件验证
宝塔面板默认可能优先使用DNS验证(尤其当已配置DNS插件时),需进入SSL设置界面主动修改验证方式。该操作无需删除原有证书,仅调整验证机制。
1、登录宝塔面板,点击左侧菜单栏的网站,找到对应域名站点,点击右侧设置按钮。
2、在站点设置窗口中,切换至SSL选项卡,点击已申请证书下方的续签按钮(若为首次申请,则点击申请证书)。
3、在弹出的证书申请窗口中,取消勾选使用DNS验证(自动添加DNS记录)选项。
4、确保验证方式下拉菜单中选择为文件验证(HTTP验证),然后点击提交开始续签流程。
二、检查网站根目录与Nginx/Apache配置是否支持文件验证
文件验证要求ACME客户端能通过HTTP访问http://域名/.well-known/acme-challenge/xxx路径下的临时验证文件。若网站配置了重写规则、强制HTTPS跳转或静态资源拦截,可能导致验证失败。
1、进入站点设置 → 配置文件,在Nginx配置中查找是否存在屏蔽.well-known目录的location块(如location ~ /\.well-known或deny all相关语句),如有则将其注释或删除。
2、检查是否启用了强制HTTPS,若已启用,在续签完成前暂时关闭该选项,避免HTTP验证请求被301重定向至HTTPS导致失败。
3、确认网站根目录路径正确且具有可写权限,宝塔需能向/www/wwwroot/域名/.well-known/acme-challenge/写入临时文件。
三、手动创建验证文件(备用方案)
当自动验证持续失败时,可启用ACME手动模式,由用户自行上传验证文件。此方法绕过面板自动流程,适用于受CDN、反向代理或复杂防火墙限制的环境。
1、在SSL申请页面选择手动验证(不自动部署),点击提交后,面板将显示待验证的token和key authorization值。
2、在终端中执行命令生成验证文件内容:echo "key_authorization值" > /www/wwwroot/域名/.well-known/acme-challenge/token值。
3、通过浏览器直接访问http://域名/.well-known/acme-challenge/token值,确认返回内容与key authorization完全一致,无多余空格或换行。
4、返回面板点击验证并续签按钮,触发二次校验。
四、关闭CDN或临时调整解析
若域名前端接入了Cloudflare、腾讯云CDN等服务,其缓存或安全策略可能拦截对.well-known路径的HTTP请求,导致文件验证无法被Let’s Encrypt服务器访问。
1、登录CDN控制台,将域名的代理状态切换为“DNS Only”(仅解析,不代理),或临时暂停CDN服务。
2、确认域名A记录直接解析至服务器真实IP,且服务器80端口对外可达(可通过curl -I http://域名/.well-known测试响应)。
3、完成续签后,再恢复CDN代理状态,并确保CDN配置中未屏蔽.well-known路径。
五、使用命令行acme.sh工具覆盖验证方式
当宝塔内置SSL功能持续异常时,可借助acme.sh脚本直接管理证书,完全控制验证类型与参数,避免面板逻辑干扰。
1、通过SSH连接服务器,执行:curl https://get.acme.sh | sh安装acme.sh。
2、执行:~/.acme.sh/acme.sh --issue -d 域名 --webroot /www/wwwroot/域名/,明确指定Webroot路径启动HTTP验证。
3、验证成功后,执行:~/.acme.sh/acme.sh --installcert -d 域名 --key-file /www/server/panel/vhost/cert/域名/privkey.pem --fullchain-file /www/server/panel/vhost/cert/域名/fullchain.pem --reloadcmd "service nginx reload",将证书部署至宝塔指定位置并重载Nginx。
