宝塔面板SSL配置教程：开启HTTPS安全登录

为保障宝塔面板登录安全，避免账号密码在HTTP明文传输中被窃取，本文详细讲解了如何通过绑定独立域名、申请Let’s Encrypt免费SSL证书、配置Nginx反向代理至8888端口，并彻底禁用HTTP直连，最终实现全链路HTTPS安全访问——操作清晰、步骤可靠，助你一键将面板登录升级为加密通道，真正筑牢服务器管理的第一道防线。

如果您已完成宝塔面板的安装，但访问面板地址（如 http://服务器IP:8888）仍为HTTP明文传输，则存在账号密码被窃取的风险。为保障面板登录安全，必须为其单独配置HTTPS访问。以下是针对宝塔面板自身登录界面启用SSL证书的完整操作流程：

一、确认前置条件已满足

宝塔面板HTTPS登录依赖于系统级Nginx反向代理及有效证书，需确保：面板已安装且运行正常；服务器443端口在安全组与防火墙中已放行；已获取适用于面板域名（如 panel.example.com）或服务器IP的SSL证书；若使用IP证书，须确保证书支持IP签发（如Let’s Encrypt不支持纯IP，需选用支持IP的CA或自签名方案）。

1、登录服务器终端，执行 netstat -tuln | grep :443 检查443端口监听状态。

2、进入宝塔面板首页，点击右上角「设置」→「面板设置」，确认「面板端口」未被修改为非标准端口（如仍为8888），否则后续代理配置需同步调整。

3、检查当前是否已启用Nginx：进入「软件商店」→ 找到Nginx → 确认状态为「已运行」；若未安装，请先安装Nginx（推荐1.22+版本）。

二、为宝塔面板绑定独立域名并解析

直接用IP申请公开可信SSL证书不可行，因此必须为面板分配一个可解析的二级域名（如panel.yourdomain.com），并完成DNS A记录指向服务器公网IP。该域名仅用于面板访问，不参与网站业务。

1、登录您的域名服务商控制台，添加一条A记录：主机名填 panel，记录值填服务器公网IP，TTL设为默认值。

2、等待DNS生效（可通过 ping panel.yourdomain.com 或 dig panel.yourdomain.com +short 验证）。

3、在宝塔面板「网站」中添加该域名站点（无需建站内容），仅用于证书申请和反向代理目标。

三、通过宝塔网站功能申请并部署SSL证书

利用宝塔内置的SSL申请能力，为panel.yourdomain.com自动签发并部署Let’s Encrypt免费证书，避免手动上传路径错误或权限问题。

1、进入「网站」→ 找到刚添加的 panel.yourdomain.com 站点 → 点击「设置」。

2、切换至「SSL」选项卡 → 点击「申请」按钮 → 选择「Let’s Encrypt」→ 勾选「泛域名」（如需后续扩展子域）→ 点击「申请」。

3、申请成功后，勾选「强制HTTPS」并保存；此时该域名的HTTPS已就绪，但尚未关联面板登录入口。

4、返回该站点「设置」→ 「反向代理」→ 「添加反向代理」，目标URL填写 http://127.0.0.1:8888（即本地宝塔面板服务地址）。

四、修改Nginx全局配置启用HTTPS面板入口

宝塔默认不将443端口直接映射到面板，需手动编辑Nginx主配置，使 panel.yourdomain.com 的443请求经由反向代理转发至8888端口，并继承证书配置。

1、进入「软件商店」→「Nginx」→「设置」→「配置修改」，定位到 server 块中已为 panel.yourdomain.com 生成的 HTTPS 配置段。

2、确认该server块包含以下关键指令：listen 443 ssl http2;、ssl_certificate /www/server/panel/vhost/cert/panel.yourdomain.com/fullchain.pem;、ssl_certificate_key /www/server/panel/vhost/cert/panel.yourdomain.com/privkey.pem;。

3、在该server块内，删除原有 location / { ... } 内容，替换为：location / { proxy_pass http://127.0.0.1:8888; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; }。

五、禁用HTTP面板访问并重启服务

为杜绝HTTP明文登录可能，必须关闭8888端口的外部直连，并确保所有面板流量强制走HTTPS代理通道。

1、进入「安全」→「防火墙」→「放行端口」，删除或禁用 8888 端口的入站规则（保留443、22、80等必要端口）。

2、执行终端命令 bt 16 关闭面板SSL（此操作仅关闭面板内置SSL，不影响Nginx代理）。

3、返回「软件商店」→「Nginx」→「重启」，使新配置生效。

4、浏览器访问 https://panel.yourdomain.com，确认显示绿色锁标识且能正常登录面板。

今天关于《宝塔面板SSL配置教程：开启HTTPS安全登录》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！