宝塔SSL配置与HSTS开启教程

本文详细讲解了如何在宝塔面板中一站式完成SSL证书部署与HSTS安全策略启用，涵盖自动申请Let’s Encrypt免费证书、手动上传第三方证书、通过Nginx配置或防火墙插件添加HSTS响应头等核心操作，并提供浏览器检查、开发者工具验证及HSTS预加载检测等实用验证方法——助您快速消除“不安全”警告，强制全站HTTPS访问，有效抵御中间人攻击与协议降级风险，显著提升网站安全性与用户信任度。

如果您在宝塔面板中已部署网站但尚未启用HTTPS加密与HSTS安全策略，则访问时可能被标记为不安全，且无法强制用户通过加密连接访问。以下是实现SSL证书配置与HSTS强制加密的具体操作步骤：

一、通过宝塔面板申请并部署SSL证书

宝塔面板内置免费Let’s Encrypt证书申请功能，可自动完成域名验证、证书签发与Nginx/Apache配置更新，无需手动下载或上传证书文件。

1、登录宝塔面板，在左侧菜单栏点击网站，进入网站列表页面。

2、找到目标站点，点击右侧设置按钮（齿轮图标）。

3、在新打开的设置页中，切换至SSL选项卡。

4、勾选Let’s Encrypt，在域名列表中确认已正确显示待绑定的主域名及子域名（如www）。若未显示，请先确保DNS解析已生效且指向当前服务器IP。

5、点击申请按钮，等待状态栏显示“SSL证书申请成功”提示。

6、申请成功后，立即点击启用SSL开关，使Nginx或Apache自动加载证书并重启服务。

二、手动上传第三方SSL证书并启用

当使用商业证书、泛域名证书或已从其他平台导出的PEM格式证书时，需手动上传证书链与私钥文件，确保格式与路径符合Web服务器要求。

1、在网站设置的SSL选项卡中，选择其他证书类型。

2、将证书文件（.crt或.pem）内容完整粘贴至证书（CRT）文本框，注意包含BEGIN CERTIFICATE与END CERTIFICATE边界行。

3、将私钥文件（.key）内容完整粘贴至私钥（KEY）文本框，确保以BEGIN RSA PRIVATE KEY或BEGIN PRIVATE KEY开头。

4、如有中间证书（CA Bundle），将其内容粘贴至证书链（可选）文本框。

5、点击保存，系统自动校验格式并应用配置；若提示错误，请检查换行符是否为LF格式、有无多余空格或缺失边界标识。

三、在Nginx配置中添加HSTS响应头

HSTS（HTTP Strict Transport Security）通过响应头告知浏览器仅允许HTTPS访问，防止降级攻击与SSL剥离，需在Web服务器配置中显式声明max-age、includeSubDomains等参数。

1、返回网站设置页，切换至配置文件选项卡。

2、在server块内、location / { ... } 之前的位置，插入以下指令：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

3、确保该行位于所有return 301 https://...重定向规则之后，且未被注释（即行首无#号）。

4、点击保存，宝塔将自动检测语法并重启Nginx服务。

四、通过宝塔防火墙插件启用HSTS（替代方案）

若未安装Nginx或偏好图形化操作，可借助宝塔官方防火墙插件统一管理安全头，避免直接编辑配置文件引发语法错误。

1、在面板首页点击软件商店，搜索并安装宝塔防火墙（专业版功能，需授权）。

2、安装完成后，进入防火墙 > 网站防护，选择对应站点。

3、开启安全响应头开关，并在HSTS设置区域填写：max-age=31536000; includeSubDomains。

4、勾选对所有子域名生效与提交至HSTS预加载列表（如需预加载）。

5、点击保存规则，插件自动注入header指令并重载服务。

五、验证SSL与HSTS是否生效

配置完成后需通过外部工具确认响应头与证书链完整性，排除因缓存、CDN或中间代理导致的误判。

1、在浏览器地址栏输入https://yourdomain.com，查看地址栏是否显示绿色锁形图标，并点击查看证书信息确认有效期与颁发者。

2、打开开发者工具（F12），切换至Network标签，刷新页面，点击任意请求，在Response Headers中查找Strict-Transport-Security字段，确认值包含max-age与includeSubDomains。

3、访问https://hstspreload.org/?domain=yourdomain.com，输入域名检测是否满足预加载条件，包括响应头完整性、全站HTTPS跳转、preload参数等。

理论要掌握，实操不能落！以上关于《宝塔SSL配置与HSTS开启教程》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！