登录
首页 >  文章 >  php教程

宝塔SSL申请失败怎么解决

时间:2026-05-24 09:03:14 451浏览 收藏

Let’s Encrypt SSL证书申请失败,往往不是宝塔面板的问题,而是验证请求根本无法抵达你的服务器——DNS未全球生效、云服务器安全组未开放80端口、Nginx错误拦截`.well-known`路径、libcurl版本过低(需≥7.58.0)、残留缓存或验证文件干扰,以及CDN/WAF/IPv6等中间层拦截,都可能导致“正在验证”卡死或直接报错;真正有效的解决思路是:先确保域名解析准确可达、80端口裸露直通、Nginx显式放行验证路径、清理所有旧缓存与文件,并在验证阶段临时关闭所有中间代理和IPv6,一步到位扫清Let’s Encrypt自动验证的全部障碍。

宝塔SSL证书申请失败_检查域名解析与验证文件权限

域名解析没生效,Let’s Encrypt 根本连不到你的服务器

证书申请卡在“正在验证”或直接报“域名解析错误”,第一反应不是宝塔有问题,而是 Let’s Encrypt 的验证请求压根没抵达你的机器。它会从海外节点发起 HTTP 请求访问 http://yourdomain.com/.well-known/acme-challenge/xxx,如果 DNS 还没全球生效、或者只绑了 example.com 没绑 www.example.com,它就会失败。

  • dig +short yourdomain.comdig +short www.yourdomain.com 确认两者都返回你服务器的公网 IP;只返回一个?立刻去宝塔【网站】→【域名管理】里补上缺失的那个
  • 执行 ping yourdomain.com,看是否通且 IP 正确;如果超时或返回错误 IP,别急着重试证书,先等 DNS 缓存刷新(通常 10 分钟~2 小时)
  • 云服务器(阿里云/腾讯云)必须检查安全组——80 端口入方向规则得开着,光开 443 不行,HTTP-01 验证只走 80

Nginx 拦截了 .well-known 路径,验证文件存在但访问 404

你手动创建了 /www/wwwroot/your-site/.well-known/acme-challenge/test.txt,也确认路径权限是 755,但在浏览器打开 http://yourdomain.com/.well-known/acme-challenge/test.txt 却返回 404 或 403——大概率是 Nginx 配置里写了 location ~ \.location ~ /\.|\.php$ 这类正则,把 .well-known 当隐藏目录给屏蔽了。

  • 打开站点配置文件:/www/server/panel/vhost/nginx/yourdomain.com.conf,搜 .well-known,如果没有显式放行块,就加一段:
location ^~ /.well-known/acme-challenge/ {
    default_type text/plain;
    root /www/wwwroot/yourdomain.com;
}
  • 删掉任何可能覆盖该路径的 location / 内的 return 301 https://... 或反向代理规则,验证阶段不能跳转 HTTPS
  • 改完后执行 nginx -t && systemctl reload nginx,再用 curl -I http://yourdomain.com/.well-known/acme-challenge/test.txt 测试是否返回 200

    • libcurl 版本太低或路径混乱,acme.sh 静默失败

    日志里看不到明显报错,面板卡在“正在验证”,后台却没生成验证文件——很可能是宝塔调用的 acme.sh 因底层 libcurl.so.4 不兼容 ACME v2 协议而直接退出。常见于手动编译过 curl、或装过旧版 Docker/Node 的服务器。

    • 运行 ldd /usr/bin/curl | grep curl,看输出是不是指向 /usr/lib/x86_64-linux-gnu/libcurl.so.4;如果指向 /usr/local/lib/libcurl.so.4,说明用了非系统默认库
    • 执行 /usr/bin/curl --version,确认 libcurl 版本 ≥ 7.58.0;低于这个版本,ACME v2 会握手失败
    • 临时重命名冲突库:mv /usr/local/lib/libcurl.so.4 /usr/local/lib/libcurl.so.4.bak,再跑 ldconfig 刷新缓存,强制回退到系统标准库

    残留缓存和旧验证文件干扰新申请

    反复点“免费申请”失败后,letsencrypt.json 可能已损坏,或 .well-known/acme-challenge/ 下留着上一次未清理的 token 文件,导致 Let’s Encrypt 收到重复或过期响应,直接拒绝。

    • 停掉对应站点:bt 8 → 选站点 → 停止;再删配置缓存:rm -f /www/server/panel/config/letsencrypt.json
    • 清空验证目录:rm -rf /www/wwwroot/your-site/.well-known/acme-challenge/*(注意替换 your-site
    • 最后执行 bt 14 清面板缓存,再 bt restart 重启面板服务——别跳这步,很多“重试无效”其实卡在内存缓存里
    验证 URL 能手动访问 ≠ Let’s Encrypt 能访问,它的请求来自特定 IP 段、走 IPv4、不带 Cookie、也不走 CDN;哪怕你本地测通了,只要中间有 WAF、CDN、IPv6 优先或全局 301,就可能被拦。最稳的方式:关 CDN、关 WAF、禁 IPv6、确保 80 端口裸露直通 Nginx——验证通过后再开回来。

    今天带大家了解了的相关知识,希望对你有所帮助;关于文章的技术知识我们会一点点深入介绍,欢迎大家关注golang学习网公众号,一起学习编程~

    资料下载
    相关阅读
    更多>
    最新阅读
    更多>
    课程推荐
    更多>