宝塔面板可一键申请并自动续签Let’s Encrypt免费SSL证书:登录后进入网站设置→SSL选项卡→点击申请;成功后启用强制HTTPS;默认每日2:00自动续签,失败时可手动续签或排查防火墙、端口、目录权限等问题。
如果您已在宝塔面板中成功添加网站,但尚未启用 HTTPS 加密访问,则可通过内置的 Let’s Encrypt 功能快速申请并自动续签免费 SSL 证书。以下是具体操作步骤:
一、通过宝塔面板一键申请 Let’s Encrypt 免费证书
宝塔面板集成了 Let’s Encrypt 客户端,支持对已绑定域名的网站直接申请受信任的免费 SSL 证书,无需手动下载或上传文件,且默认开启自动续期机制。
1、登录宝塔面板,点击左侧菜单栏的网站,进入站点列表页面。
2、在目标网站右侧操作列,点击设置按钮。
3、在弹出窗口中,点击顶部导航栏的SSL选项卡。
4、在 SSL 页面中,确保域名解析已生效且能正常访问 HTTP 站点,然后点击Let's Encrypt选项区域下的申请按钮。
5、勾选需要部署证书的域名(如存在子域名或泛域名,请确认已正确配置 DNS 解析),点击申请。
6、等待约 10–30 秒,面板显示“证书申请成功”并自动填充密钥(KEY)与证书(PEM)内容,点击保存并启用证书。
二、验证证书是否生效及强制 HTTPS 访问
证书部署完成后需验证其有效性,并建议启用强制 HTTPS 以确保所有流量均经加密通道传输,避免混合内容警告或浏览器不安全提示。
1、打开浏览器,访问https://您的域名,检查地址栏是否出现锁形图标。
2、点击锁形图标 → 查看证书 → 确认颁发者为Let's Encrypt Authority X3或类似有效标识。
3、返回宝塔面板网站设置页,在SSL选项卡中,点击强制 HTTPS开关使其变为蓝色启用状态。
4、保存设置,此时所有 HTTP 请求将自动 301 重定向至 HTTPS 地址。
三、确认自动续签机制已启用
Let’s Encrypt 证书有效期为 90 天,宝塔面板默认配置了每日凌晨 2:00 的定时任务用于检测并续签即将过期(剩余 ≤ 20 天)的证书,无需人工干预。
1、在宝塔面板左侧菜单栏点击计划任务,查找名称为Let's Encrypt 自动续签的任务。
2、确认该任务状态为已启用,执行周期为每天 02:00。
3、可点击日志查看最近一次续签结果,成功日志中应包含类似“renew success for domain.xxx.com”的记录。
4、若某次续签失败,日志中会显示错误原因(如 DNS 解析异常、Web 根目录不可写、域名未响应 HTTP-01 挑战等),需根据提示修复对应问题后手动点击续签按钮。
四、手动触发续签与证书更新
当证书临近到期、或因网络波动导致自动续签失败时,可立即执行手动续签操作,确保服务连续性。
1、进入对应网站的SSL设置页。
2、在证书信息下方,点击续签按钮(位于“当前证书”区域右下角)。
3、确认域名解析正常、网站可被公网访问,点击确定续签。
4、等待约 15 秒,页面刷新后显示新证书有效期起始时间,且状态栏提示“续签成功”。
5、如需更新全部已部署 Let’s Encrypt 证书,可在宝塔面板软件商店中搜索并打开SSL 证书管理器插件(如已安装),使用批量续签功能。
五、排查常见续签失败原因
自动续签失败通常由环境配置异常引起,以下为高频问题及对应检查项:
1、确认网站已启用并正常运行 HTTP 访问,Let’s Encrypt 验证阶段需通过 80 端口响应 ACME HTTP-01 挑战。
2、检查服务器防火墙及云服务商安全组是否放行 80 和 443 端口,尤其注意部分厂商默认屏蔽 80 端口入站规则。
3、确认网站根目录.well-known/acme-challenge/路径具有可写权限,Nginx/Apache 配置未屏蔽该路径访问。
4、若使用 CDN 或反向代理,需确保源站直连可访问,或切换验证方式为 DNS-01(需额外配置 API 密钥)。
5、检查宝塔面板系统时间是否准确,误差超过 5 分钟可能导致 ACME 协议校验失败,可执行ntpdate -s time.nist.gov同步时间。
