宝塔SSL续签失败？Let'sEncrypt通配符DNS解决方法

Let’s Encrypt通配符证书（如*.example.com）因安全策略强制要求DNS-01验证，无法使用宝塔默认的HTTP方式自动续签，导致常见“续签失败”实为验证方式错配；本文直击痛点，详解如何通过手动配置DNS API密钥（如阿里云或Cloudflare）、修改acme.json启用dns_api、执行acme.sh --renew命令完成全自动DNS验证续签，并强调Nginx证书路径必须指向最新的fullchain.pem和privkey.pem——只要搞定DNS权限与证书路径这两关，通配符证书续签就能稳定可靠、彻底告别玄学报错。

Let’s Encrypt通配符证书为什么必须走 DNS 验证

通配符证书（如 *.example.com）不支持 HTTP-01 验证，这是 Let’s Encrypt 的硬性限制。宝塔面板默认的「自动续签」走的是 HTTP 方式，遇到通配符域名会直接跳过或报错 dns-01 challenge is required。你看到的「续签失败」，八成是卡在验证环节——不是配置问题，是验证方式根本没选对。

必须显式启用 DNS-01，并提供对应 DNS 提供商的 API 凭据（如阿里云的 ALIYUN_ACCESS_KEY_ID、Cloudflare 的 CF_API_TOKEN），让 acme.sh 能自动添加/删除 _acme-challenge.example.com TXT 记录。

宝塔里启用 DNS 自动续签的关键三步

宝塔 8.x+ 内置了 acme.sh，但默认不暴露 DNS 配置入口。你需要手动补全环境变量并触发重载：

• 登录服务器，编辑 /www/server/panel/vhost/cert/your-domain.com/acme.json（或查看 /www/server/panel/vhost/cert/ 下对应域名目录），确认 "dns_api": "dns_aliyun"（或其他 DNS 类型）已写入
• 在宝塔终端执行：source /www/server/panel/pyenv/bin/activate && export ALIYUN_ACCESS_KEY_ID="xxx" ALIYUN_ACCESS_KEY_SECRET="yyy"（替换成你的真实密钥）
• 再运行：acme.sh --renew -d example.com -d *.example.com --dns dns_aliyun --force 测试能否成功生成新证书
• 成功后，把这行命令加到宝塔计划任务，类型选「Shell 脚本」，周期设为「每月 1 号 2:00」（避开 Let’s Encrypt 请求高峰）

常见失败原因和对应检查点

续签失败时别急着重装，先盯住这几个地方：

• acme.sh --issue 报错 Unauthorized: Account creation on ACMEv1 is disabled → 宝塔旧版 acme.sh 仍连 ACMEv1，需升级：acme.sh --upgrade --auto-upgrade 1
• DNS 记录未生效：用 dig _acme-challenge.example.com txt +short 查不到返回值，说明 API 没写入成功，检查密钥权限（阿里云需授予 AliyunDNSFullAccess）
• 宝塔证书列表里显示「已过期」但实际 Nginx 没 reload → 手动执行：bt reload 或进面板「网站」→「设置」→「SSL」→「部署」按钮点一下
• 多个子域共用一个通配符证书，但宝塔「批量续签」仍试图逐个调用 HTTP 验证 → 放弃面板内置批量功能，统一用上面的 acme.sh --renew 命令管理

通配符证书续签后 Nginx 配置不会自动更新？

宝塔不会自动把新证书路径写进 nginx.conf，尤其当你手动改过 SSL 配置时。每次续签完成后，必须确认站点配置中 ssl_certificate 和 ssl_certificate_key 指向的是最新文件：

检查路径是否为：/www/server/panel/vhost/cert/example.com/fullchain.pem 和 /www/server/panel/vhost/cert/example.com/privkey.pem（注意不是 cert.pem 或带时间戳的旧文件）

如果指向错误，进宝塔「网站」→「设置」→「SSL」→「其他证书」里重新选择刚续好的证书，或者直接编辑 /www/server/panel/vhost/nginx/example.com.conf 手动修正路径，然后 nginx -t && systemctl reload nginx。

最麻烦的其实是 DNS 权限和证书路径这两处，其它都是流程问题；只要密钥有权限、路径没写死、验证走 DNS，通配符续签就不是玄学。

好了，本文到此结束，带大家了解了《宝塔SSL续签失败？Let'sEncrypt通配符DNS解决方法》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！