为什么宝塔面板申请SSL证书一直卡在“正在验证”阶段？

SSL证书长期“正在验证”是因CA无法完成域名所有权验证，需依次检查域名解析与绑定、HTTP 80端口可访问性、清理旧缓存、切换DNS验证或修正Nginx的/.well-known路径映射。

如果您在宝塔面板中申请SSL证书后，状态长期停留在“正在验证”阶段，则可能是由于域名所有权验证环节未能被证书颁发机构（CA）成功确认。以下是解决此问题的步骤：

一、检查域名解析与绑定配置

宝塔面板执行文件验证时，需确保目标域名（含www与非www版本）均已正确解析并绑定至当前服务器IP地址。若仅绑定主域名而遗漏www子域，或DNS未生效，CA将无法访问验证文件。

1、登录宝塔面板，进入【网站】→选择对应站点→点击【设置】→【域名管理】。

2、确认列表中同时存在不带www和带www的完整域名，例如example.com与www.example.com。

3、使用命令行执行ping example.com与ping www.example.com，验证两者均指向同一服务器IP。

4、若缺少www绑定，手动添加并保存；若DNS未生效，等待DNS全球缓存刷新（通常需10分钟至2小时）。

二、验证HTTP端口可访问性

Let’s Encrypt等CA在验证阶段会通过80端口发起HTTP请求，读取/.well-known/acme-challenge/路径下的验证文件。若80端口被防火墙屏蔽、被Nginx/Apache拦截或被反向代理劫持，验证必然失败。

1、执行netstat -tuln | grep :80，确认Web服务正在监听80端口。

2、执行curl -I http://your-domain.com/.well-known/acme-challenge/test（替换your-domain.com），观察是否返回HTTP 200或404（非403/502/超时）。

3、若返回连接拒绝或超时，检查宝塔【安全】页面中是否放行80端口，以及云服务商（如阿里云、腾讯云）安全组是否开放TCP 80入站规则。

4、若返回403或Nginx 502错误，检查站点配置中是否存在强制301跳转HTTPS、或启用反向代理且未透传/.well-known路径。

三、清理旧证书缓存与验证残留

重复申请可能导致本地letsencrypt.json配置损坏或验证目录残留冲突，造成CA重复请求旧token或路径不可写。

1、停止站点运行：进入【网站】→选择站点→点击【停止】。

2、删除验证缓存文件：rm -f /www/server/panel/config/letsencrypt.json。

3、清空验证目录内容：rm -rf /www/wwwroot/your-site/.well-known/acme-challenge/*（请将your-site替换为实际站点根目录名）。

B12

B12是一个由AI驱动的一体化网站建设平台

下载

4、重启Web服务：在宝塔【软件管理】中重启Nginx或Apache。

5、重新进入站点【SSL】页，点击【申请】按钮发起全新验证流程。

四、切换为DNS验证方式

当文件验证持续失败且无法定位网络层问题时，DNS验证可绕过HTTP路径限制，直接通过域名DNS记录证明控制权，稳定性更高。

1、在宝塔面板【网站】→选择站点→【SSL】→点击【其他证书】→选择【DNS验证】。

2、系统将生成一条CNAME记录（如_acme-challenge.your-domain.com → xxxxx.acme-dns.io）。

3、登录您的域名注册商或DNS服务商后台（如Cloudflare、阿里云DNS），新增该CNAME记录。

4、等待DNS全球生效（可通过dig -t cname _acme-challenge.your-domain.com +short验证返回值）。

5、返回宝塔面板，点击【验证】按钮，系统将自动查询DNS记录完成校验。

五、修正Nginx配置中的验证路径映射

部分自定义Nginx配置会覆盖默认的ACME挑战路径，导致/.well-known/acme-challenge/无法被正确路由到静态文件目录。

1、打开站点配置文件：/www/server/panel/vhost/nginx/your-domain.conf（your-domain为实际域名）。

2、在server块内查找是否已存在location ^~ /.well-known/acme-challenge/段落；若不存在或被注释，手动插入以下内容：

location ^~ /.well-known/acme-challenge/ { default_type text/plain; root /www/wwwroot/your-domain; }

3、确保该location块位于所有重定向规则（如301跳转HTTPS）之前，避免被提前拦截。

4、执行nginx -t验证语法无误后，执行nginx -s reload重载配置。