宝塔面板自签名SSL证书开启教程

本文详细介绍了如何在内网环境中快速、安全地为宝塔面板启用HTTPS访问——通过宝塔内置的自签名SSL证书功能，无需购买公网证书即可实现管理通信加密；内容涵盖一键开启SSL、下载安装根证书以消除浏览器警告、强制刷新损坏或过期证书，以及高级用户替换自定义PEM证书的完整操作流程，步骤清晰、实操性强，是内网运维人员提升面板安全性不可或缺的实用指南。

如果您在内网环境中使用宝塔面板，希望启用HTTPS加密访问以保障管理通信安全，但又无需公网可信证书，则可直接启用宝塔内置的面板SSL自签名证书功能。以下是实现该目标的具体操作步骤：

一、启用面板SSL自签名证书

该步骤通过宝塔后台界面触发证书生成与启用，生成的证书默认存放于/www/server/panel/ssl/目录，有效期为10年，适用于内网环境下的基础加密需求。

1、使用HTTP方式登录宝塔面板（例如 http://192.168.1.100:8888）。

2、点击左侧菜单栏中的“设置”，进入面板设置页面。

3、在设置页面顶部找到“安全设置”区域，点击“面板SSL”选项。

4、在“面板SSL配置”区域，点击“开启”按钮。

5、等待页面自动跳转至HTTPS地址（如 https://192.168.1.100:8888），此时即表示自签名证书已启用并生效。

二、处理浏览器对自签名证书的不信任提示

由于自签名证书未被操作系统或浏览器根证书库预置信任，首次访问时会显示“不安全”警告。在内网可控环境中，可通过手动安装根证书使浏览器建立信任链。

1、在“面板SSL配置”页面中，点击“下载证书”按钮，保存 baota_root.pem 文件到本地计算机。

2、双击打开下载的 baota_root.pem 文件，在弹出的证书导入向导中选择“本地计算机”作为存储位置。

3、点击“下一步”，在证书存储位置选择“受信任的根证书颁发机构”。

4、完成导入后，关闭当前所有浏览器窗口，重新启动浏览器。

5、再次访问 https://192.168.1.100:8888，地址栏将显示锁形图标且无安全警告。

三、强制刷新证书（适用于证书过期或损坏场景）

当面板SSL开关已开启但证书失效、时间异常或无法访问HTTPS时，需清除旧证书文件并触发重新签发，确保证书状态可用。

1、通过SSH或宝塔终端连接服务器，执行命令：rm -f /www/server/panel/ssl/*。

2、返回面板设置 → 面板SSL → 面板SSL配置，点击“开启”按钮。

3、系统将自动重建 certificate.pem 与 privateKey.pem 文件，并更新有效期。

4、重新下载新证书并按第二步完成本地信任安装。

四、替换为自定义PEM格式证书（可选高级方式）

若已有符合要求的PEM格式证书（如由内网CA签发），可跳过自动生成流程，直接覆盖文件实现更精细的内网信任体系。

1、准备两个文件：certificate.pem（含服务器证书与完整证书链）和 privateKey.pem（对应私钥）。

2、将两个文件上传至服务器，覆盖路径：/www/server/panel/ssl/certificate.pem 与 /www/server/panel/ssl/privateKey.pem。

3、执行命令：bt restart 重启宝塔面板服务。

4、重新访问HTTPS地址，验证证书信息是否已更新为自定义内容。

今天关于《宝塔面板自签名SSL证书开启教程》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！