宝塔SSL证书申请失败怎么解决

当在宝塔面板中申请 Let's Encrypt SSL 证书频繁失败、提示连接超时或验证异常时，问题往往并非配置错误，而是受国内网络环境限制——境外 CA 节点访问不通、IPv6 不可达、Nginx 拦截验证路径、ACME 缓存损坏或 OpenSSL 版本兼容性缺陷共同导致。本文直击痛点，提供一套完整可行的国产化替代与系统级修复方案：优先切换至境内合规的 LiteSSL CA 并启用 DNS 验证规避网络障碍；禁用 IPv6 强制走稳定 IPv4；彻底清理 ACME 缓存与残留证书；精准修正 Nginx 对 `.well-known/acme-challenge` 路径的拦截逻辑；并修复 acme_v2.py 中因 OpenSSL 升级引发的签名函数报错——每一步都经过实操验证，助你快速绕过墙与 Bug，真正实现 SSL 证书“一键签发、自动续期”。

如果您尝试在宝塔面板中为网站申请 Let's Encrypt 免费 SSL 证书，但反复提示连接超时或验证失败，则很可能是由于服务器无法访问 Let's Encrypt 境外验证节点（如 https://acme-v02.api.letsencrypt.org/directory）所致。以下是解决此问题的步骤：

一、切换至国内可信 CA 服务商（LiteSSL）

Let's Encrypt 依赖境外网络，国内服务器常因网络限制导致连接超时；LiteSSL 是国内合规免费 CA，所有验证节点部署于境内，无需出网即可完成签发与自动续签。

1、登录宝塔面板，进入「网站」→ 选择目标站点 → 点击「SSL」选项卡。

2、点击「免费申请」按钮，在弹出窗口中将「证书服务商」下拉菜单改为LiteSSL。

3、将「验证方式」设为DNS 验证，并选择对应 DNS 服务商（如阿里云、腾讯云、Cloudflare）。

4、按提示填写该 DNS 服务商所需的 AccessKey ID 与 AccessKey Secret（务必使用 RAM 子账号凭证，避免主账号 AK 被安全拦截）。

二、修复 IPv6 优先导致的网络不可达

部分系统默认启用 IPv6 且优先解析 AAAA 记录，而 Let's Encrypt 的 IPv6 地址（如 2606:4700::）在国内多数环境不可达，引发 curl 报错“Network is unreachable”。

1、执行命令临时禁用 IPv6 连接：echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6。

2、编辑网络配置文件：vi /etc/sysctl.conf，末尾追加 net.ipv6.conf.all.disable_ipv6 = 1 并保存。

3、运行 sysctl -p 使配置生效。

4、重启 nginx 或 apache 服务，确保后续 ACME 请求强制走 IPv4 路径。

三、手动清理 ACME 缓存与旧证书残留

宝塔内部 acme 客户端缓存损坏、letsencrypt.json 文件异常或旧证书吊销状态未同步，会导致重复申请被拒绝或验证流程卡死。

1、删除 ACME 配置缓存：rm -f /www/server/panel/config/letsencrypt.json。

2、清除站点级验证缓存目录：rm -rf /www/wwwroot/.well-known/acme-challenge/（若存在）。

3、清空宝塔面板运行时缓存：bt 14（选择“清除面板缓存”），随后执行 bt restart 重启面板服务。

4、检查并删除已过期但未释放的证书条目：进入「SSL」页面，对显示“已过期”或“验证失败”的证书记录，点击右侧「删除」图标彻底移除。

四、修正 Nginx 伪静态与 .well-known 路径拦截

HTTP 验证需通过 80 端口访问 /.well-known/acme-challenge/ 下的 token 文件，若站点启用伪静态规则（如 ThinkPHP、WordPress）、或 Nginx 配置中 location 匹配覆盖了该路径，则验证请求会被重定向或返回 404。

1、进入宝塔「网站」→ 目标站点 → 「配置文件」，定位到 server 块内所有 location 指令。

2、确认存在以下独立 location 块（置于其他 location 之前）：location ^~ /.well-known/acme-challenge/ { default_type text/plain; root /www/wwwroot/your_domain_name; }。

3、检查是否启用了「强制 HTTPS」或「301 重定向」规则，若存在类似 return 301 https://$host$request_uri; 的全局跳转，需将其移至该 location 块之后，或添加 if 判断排除 .well-known 路径。

4、保存配置后点击「重载配置」，并使用 nginx -t 验证语法正确性。

五、替换 OpenSSL 签名函数兼容性错误

部分系统 pyOpenSSL 版本升级后，x509req.set_version() 接口行为变更，导致宝塔内置 acme_v2.py 在生成 CSR 时调用 sign 函数失败，报错“module 'OpenSSL.crypto' has no attribute 'sign'”。

1、使用宝塔文件管理器打开路径：/www/server/panel/class/acme_v2.py。

2、搜索关键词 x509req.set_version(2)，将其整行替换为 x509req.set_version(0)。

3、保存文件后，在终端执行：bt 14 清除缓存，并运行 bt restart 重启面板。

4、再次尝试申请，验证 CSR 构建阶段是否跳过签名版本校验，恢复正常流程。

今天关于《宝塔SSL证书申请失败怎么解决》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！