宝塔SSL完整流程

在宝塔面板“网站”列表中，先确认目标域名已能正常访问，且DNS解析已生效并指向当前服务器公网IP。建议临时关闭CDN和反向代理，确保域名直连服务器，避免Let's Encrypt文件验证失败。同时，在服务器防火墙和安全组中放通80和443端口，申请阶段尤其依赖80端口进行验证。

申请Let's Encrypt证书

进入站点设置，切换到“SSL”选项卡，选择“Let's Encrypt”。验证方式推荐默认的“文件验证”，勾选需要申请证书的主域名及www域名，填写真实邮箱以便接收到期提醒。点击申请后，宝塔会在站点根目录创建.well-known/acme-challenge/验证文件，CA通过80端口访问确认所有权。验证通过后，证书将自动保存至/www/server/panel/vhost/cert/对应站点目录。

若提示验证失败，需排查三点：域名解析是否全球生效、80端口是否外网可达、Nginx/Apache配置中是否存在强制HTTP跳转HTTPS的rewrite规则。若存在跳转规则，需临时注释后重新申请。

开启HTTPS与强制跳转

证书签发完成后，SSL选项卡会显示有效期。此时先不要急于开启“强制HTTPS”，应使用https://域名手动访问，确认443端口正常且证书无报错。确认无误后再开启强制跳转，宝塔会自动配置443监听及证书路径，并插入rewrite规则将80端口流量重定向至443。建议检查配置文件中ssl_certificate路径是否正确，随后重载Web服务。

自动续签与日常维护

Let's Encrypt证书有效期为90天，宝塔默认在计划任务中添加每日自动续签。在“计划任务”中保持“续签Let's Encrypt证书”启用即可。续签仍需通过80端口验证，因此即使开启强制HTTPS，80端口也必须保持监听。若服务器前置了CDN，可能导致续签失败，建议将续签任务设在凌晨低峰期并配置失败通知。

常见问题排查

若证书申请成功但浏览器提示不安全，通常是证书链不完整或漏配域名（如www或二级域名）。续签失败多因80端口被拦截或反向代理转发了.well-known路径。此外，磁盘空间不足也会导致证书写入失败，可通过面板日志排查。建议在证书到期前一个月关注计划任务执行记录，防患于未然。