宝塔面板SSL配置教程：证书申请、导入与续期排查

在宝塔面板中为网站配置SSL证书并不复杂，但新手常卡在域名验证失败、证书格式报错或续期任务异常等环节。本文整理了免费证书申请、商业证书导入及后续维护的完整流程，帮助大家避开常见配置陷阱。

申请 Let's Encrypt 免费证书

登录宝塔面板后台，进入目标站点的设置页面，切换到SSL标签并选择Let's Encrypt。建议采用文件验证方式，宝塔会自动向站点根目录写入验证文件。申请前务必确认两点：一是域名A记录已正确解析至当前服务器IP，二是服务器80端口可被外网正常访问。若站点前置了CDN或防火墙拦截，验证大概率会失败。

在域名列表中勾选主域名及www子域，一次性完成申请。点击申请后通常十几秒即可签发，成功后证书与私钥会自动填入，无需手动复制。

导入自有商业证书

若使用第三方商业证书，请切换至其他证书标签手动粘贴。此处常见问题是格式错误：证书框需填入以“-----BEGIN CERTIFICATE-----”开头的PEM格式内容，私钥框则对应“-----BEGIN PRIVATE KEY-----”或“-----BEGIN RSA PRIVATE KEY-----”开头的内容。

部分CA机构会提供中间证书或证书链文件，切勿遗漏。需将中间证书内容直接拼接在站点证书之后，一并贴入证书框，否则部分浏览器会提示证书不受信任。保存后Nginx会自动重载，无需手动重启服务。

强制 HTTPS 与回源设置

证书生效后，建议开启SSL页面下方的强制HTTPS功能，宝塔会自动写入301跳转规则，将HTTP请求重定向至HTTPS。若站点前置了CDN或反向代理，建议在源站保留此开关，并前往CDN控制台将回源协议设置为HTTPS，避免出现回源环路或混合内容警告。

自动续期与任务排查

Let's Encrypt证书有效期为90天，宝塔默认在到期前30天自动续签。续签任务偶尔失败，主要原因通常有三个：站点目录变更导致验证文件写入失败、80端口被封禁，或定时任务被误删。

排查路径：首先进入计划任务模块，查找名称包含续签的Shell脚本并确认其状态；手动执行测试，观察日志是否报404或连接超时错误。若站点已不再使用80端口，建议提前更换为DNS验证方式，或在证书到期前手动处理，防止网站被浏览器拦截。