宝塔SSL续签失败改文件验证方法

当宝塔面板SSL续签遭遇DNS验证失败时，无需反复排查DNS配置或等待生效，只需切换至更稳定可靠的文件验证（HTTP-01）方式即可高效解决——本文手把手教你如何在宝塔界面快速关闭DNS验证、调整Nginx配置放行.well-known路径、手动创建验证文件、临时绕过CDN干扰，甚至用acme.sh命令行工具精准控制全流程，让证书续签不再卡在“验证失败”的死胡同里。

如果您在宝塔面板中为域名申请或续签SSL证书时收到“DNS验证失败”的提示，说明ACME协议尝试通过DNS记录验证域名所有权的过程未成功。此时可将验证方式由DNS更改为文件验证（HTTP-01），该方式依赖于在网站根目录下放置指定验证文件。以下是具体操作步骤：

一、在宝塔面板中手动切换为文件验证

宝塔面板默认可能优先使用DNS验证（尤其当已配置DNS插件时），需进入SSL设置界面主动修改验证方式。该操作无需删除原有证书，仅调整验证机制。

1、登录宝塔面板，点击左侧菜单栏的网站，找到对应域名站点，点击右侧设置按钮。

2、在站点设置窗口中，切换至SSL选项卡，点击已申请证书下方的续签按钮（若为首次申请，则点击申请证书）。

3、在弹出的证书申请窗口中，取消勾选使用DNS验证（自动添加DNS记录）选项。

4、确保验证方式下拉菜单中选择为文件验证（HTTP验证），然后点击提交开始续签流程。

二、检查网站根目录与Nginx/Apache配置是否支持文件验证

文件验证要求ACME客户端能通过HTTP访问http://域名/.well-known/acme-challenge/xxx路径下的临时验证文件。若网站配置了重写规则、强制HTTPS跳转或静态资源拦截，可能导致验证失败。

1、进入站点设置 → 配置文件，在Nginx配置中查找是否存在屏蔽.well-known目录的location块（如location ~ /\.well-known或deny all相关语句），如有则将其注释或删除。

2、检查是否启用了强制HTTPS，若已启用，在续签完成前暂时关闭该选项，避免HTTP验证请求被301重定向至HTTPS导致失败。

3、确认网站根目录路径正确且具有可写权限，宝塔需能向/www/wwwroot/域名/.well-known/acme-challenge/写入临时文件。

三、手动创建验证文件（备用方案）

当自动验证持续失败时，可启用ACME手动模式，由用户自行上传验证文件。此方法绕过面板自动流程，适用于受CDN、反向代理或复杂防火墙限制的环境。

1、在SSL申请页面选择手动验证（不自动部署），点击提交后，面板将显示待验证的token和key authorization值。

2、在终端中执行命令生成验证文件内容：echo "key_authorization值" > /www/wwwroot/域名/.well-known/acme-challenge/token值。

3、通过浏览器直接访问http://域名/.well-known/acme-challenge/token值，确认返回内容与key authorization完全一致，无多余空格或换行。

4、返回面板点击验证并续签按钮，触发二次校验。

四、关闭CDN或临时调整解析

若域名前端接入了Cloudflare、腾讯云CDN等服务，其缓存或安全策略可能拦截对.well-known路径的HTTP请求，导致文件验证无法被Let’s Encrypt服务器访问。

1、登录CDN控制台，将域名的代理状态切换为“DNS Only”（仅解析，不代理），或临时暂停CDN服务。

2、确认域名A记录直接解析至服务器真实IP，且服务器80端口对外可达（可通过curl -I http://域名/.well-known测试响应）。

3、完成续签后，再恢复CDN代理状态，并确保CDN配置中未屏蔽.well-known路径。

五、使用命令行acme.sh工具覆盖验证方式

当宝塔内置SSL功能持续异常时，可借助acme.sh脚本直接管理证书，完全控制验证类型与参数，避免面板逻辑干扰。

1、通过SSH连接服务器，执行：curl https://get.acme.sh | sh安装acme.sh。

2、执行：~/.acme.sh/acme.sh --issue -d 域名 --webroot /www/wwwroot/域名/，明确指定Webroot路径启动HTTP验证。

3、验证成功后，执行：~/.acme.sh/acme.sh --installcert -d 域名 --key-file /www/server/panel/vhost/cert/域名/privkey.pem --fullchain-file /www/server/panel/vhost/cert/域名/fullchain.pem --reloadcmd "service nginx reload"，将证书部署至宝塔指定位置并重载Nginx。

今天关于《宝塔SSL续签失败改文件验证方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！