宝塔SSL证书过期\_自动续签与DNS验证方法

宝塔面板SSL证书自动续签失败的真相往往藏在表象之下：看似简单的“点一下自动续签”，实则深陷DNS验证未配置、HTTP验证被阻断、环境变量未注入定时任务、Nginx未及时重载四大隐形陷阱——当证书悄然过期，浏览器报错时，问题 rarely 出在宝塔功能失效，而在于DNS API密钥未正确写入account.conf、Cloudflare代理未关闭、阿里云子账号权限不足、或续签后缺少nginx -t && nginx -s reload的安全重载机制；掌握这些底层依赖关系，才能真正告别每月手动救火，在证书到期前静默完成验证、更新与生效。

宝塔面板里证书过期后自动续签不生效，通常不是没点“自动续签”，而是 DNS 验证卡住了

宝塔默认用 HTTP 方式验证域名所有权，但如果你的网站关了、被 CDN 挡了、或 80 端口不通，acme.sh 就会 fallback 到 DNS 验证——而宝塔 UI 里根本没暴露这个开关，也不会自动配置 DNS API。结果就是：任务跑完了，日志显示“renew failed”，但你完全不知道它连 DNS 记录都没去加。

• 检查 /www/server/panel/vhost/cert/你的域名/README，里面会写明这次用的是 http 还是 dns 验证方式
• 如果看到 dns，但没配 DNS API，续签必然失败；HTTP 验证失败时宝塔不会提醒你切换方式，只会静默重试
• 国内常见 DNS 服务商（阿里云、腾讯云、Cloudflare）都支持 API，但宝塔只内置了阿里云和 Cloudflare 的插件入口，腾讯云得手动改脚本

用 acme.sh 手动触发 DNS 续签前，先确认 DNS API 凭据已正确注入环境变量

宝塔调用的是系统级 acme.sh，它依赖环境变量读取 DNS API 密钥。很多人填了密钥却续签失败，是因为变量没进到 cron 环境里——Web UI 里设的变量对定时任务无效。

• 在终端执行 source /etc/profile 后再运行 acme.sh --renew -d example.com --force，能成功 ≠ 定时任务能成功
• 必须把变量写进 /root/.acme.sh/account.conf，例如：DNS_ALIKEY="LTAI..." 和 DNS_ALISECRET="xxx"
• 阿里云 RAM 子账号需授予 AliyunDNSFullAccess 权限；Cloudflare 要用 Global API Key，不能用 API Token（acme.sh 当前版本不支持 Token 的权限粒度）

宝塔的“自动续签”任务本质是每天凌晨 2 点跑一次 acme.sh --renew，但不会主动 reload Nginx

证书文件更新了，Nginx 还在用旧的内存里的证书，浏览器依然报过期。这不是 Bug，是设计如此——宝塔认为 reload 是高危操作，得人工确认。

• 查看任务计划：crontab -l | grep acme，确认行末有没有 && nginx -s reload 或类似命令
• 推荐做法：写个简单 shell 脚本，先 renew，再比对证书修改时间，仅当更新了才 reload，避免无谓重启
• 别直接在 crontab 里写 nginx -s reload，万一 Nginx 配置有误，reload 失败会导致服务中断；加个 nginx -t && nginx -s reload 更稳妥

验证 DNS 记录是否真被 acme.sh 正确添加，别只信宝塔日志

acme.sh 添加的 _acme-challenge.xxx TXT 记录，TTL 很短（通常 120 秒），且验证通过后会立刻删除。你手动 dig 查不到，不代表它没加——但如果你在验证窗口期内（通常 30–60 秒）没看到记录，说明 API 调用失败或权限不足。

• 临时把 TTL 改大：编辑 /root/.acme.sh/dnsapi/dns_ali.sh，找到 ttl=120 改成 ttl=600，再手动续签一次用于调试
• 用 dig -t txt _acme-challenge.example.com @8.8.8.8 查，别只查本地 DNS；有些运营商 DNS 会缓存空响应
• Cloudflare 用户注意：必须关闭 “Proxy status”（小云朵图标），否则 TXT 查询会被 CF 拦截，返回空结果

真正麻烦的从来不是点几下按钮，而是 DNS 权限、环境变量、reload 时机、查询链路这四层嵌套的隐性依赖。少一环，证书就卡在“即将过期”的红色警告里不动。

今天关于《宝塔SSL证书过期\_自动续签与DNS验证方法》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！