宝塔面板HTTPS证书配置方法

想让宝塔面板通过 HTTPS（如 https://服务器IP:8888）安全访问不再被浏览器拦截为“不安全连接”？本文详解四种切实可行的IP地址HTTPS证书配置方案：从使用acme.sh为公网IP一键申请Let's Encrypt免费受信证书，到手动替换SSL文件、利用宝塔v8.0+内置SSL功能直接申请，再到临时将自签名证书导入本地信任库消除警告——无论你有无域名、是否具备公网80端口访问条件，都能找到适配的解决方案，真正实现绿色锁标、可信加密、安心运维。

如果您尝试通过 HTTPS 访问宝塔面板（如 https://服务器IP:8888），但浏览器持续提示「您的连接不是私密连接」或「证书不受信任」，则说明当前面板仍在使用系统自签名证书。该证书未被操作系统及主流浏览器根证书库信任，需替换为 Let's Encrypt 等受信机构签发的 IP HTTPS 证书。以下是多种可行的配置方法：

一、使用 acme.sh 为 IP 地址申请 Let's Encrypt 免费证书

acme.sh 是轻量级 ACME 协议客户端，支持直接为公网 IP 申请受信证书（需 IP 可被公网访问且开放 80 端口）。此方法不依赖域名，适用于纯 IP 面板访问场景。

1、登录服务器终端，执行安装命令：
curl https://get.acme.sh | sh -s email=my@example.com

2、使 acme.sh 环境变量生效：
source ~/.bashrc

3、设置默认 CA 为 Let's Encrypt：
acme.sh --set-default-ca --server letsencrypt

4、在宝塔面板中新建一个站点，域名填写您的服务器公网 IP 地址（例如 123.123.123.123），根目录可任意指定，保存站点。

5、执行证书申请命令（以 IP 为 123.123.123.123 为例）：
acme.sh --issue --webroot /www/wwwroot/123.123.123.123 -d 123.123.123.123

6、安装证书至宝塔面板指定路径：
acme.sh --installcert -d 123.123.123.123 \\
  --key-file /www/server/panel/ssl/privateKey.pem \\
  --fullchain-file /www/server/panel/ssl/certificate.pem \\
  --reloadcmd "service bt restart"

7、重启宝塔面板服务：
bt restart

二、手动替换面板 SSL 目录下的证书文件

若已通过其他方式（如腾讯云、阿里云等平台）获取了适用于 IP 的 PEM 格式证书与私钥，可直接覆盖面板默认证书路径中的文件，实现快速生效。

1、确认证书格式：需同时具备 证书文件（含服务器证书+中间证书，PEM 格式） 和 私钥文件（KEY 格式，无密码）。

2、使用宝塔文件管理器或 SSH 登录服务器，进入目录：
/www/server/panel/ssl/

3、备份原证书文件：
mv certificate.pem certificate.pem.bak
mv privateKey.pem privateKey.pem.bak

4、将新证书内容分别写入对应文件：
echo "-----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----" > certificate.pem
echo "-----BEGIN RSA PRIVATE KEY-----\n...\n-----END RSA PRIVATE KEY-----" > privateKey.pem

5、确保文件权限正确：
chmod 600 /www/server/panel/ssl/*.pem

6、重启面板使证书生效：
bt restart

三、通过宝塔面板内置 SSL 功能申请 IP 证书（需满足条件）

宝塔新版面板（v8.0+）已支持在【SSL】页面中直接为 IP 地址申请 Let's Encrypt 证书，前提是服务器具备可被公网验证的 HTTP 访问能力（即 80 端口开放且能响应 acme 挑战）。

1、登录宝塔面板，点击左侧菜单【SSL】。

2、在【Let's Encrypt】选项卡下，输入您的服务器公网 IP 地址作为域名（不可加 http:// 或端口号）。

3、勾选「使用 DNS API」或「使用 Web 根目录验证」；若 IP 对应站点已存在且可访问，推荐选择后者。

4、点击【申请】按钮，等待状态变为「已签发」。

5、申请成功后，点击【部署】→【部署到面板】，面板将自动复制证书至 /www/server/panel/ssl/ 并重启服务。

6、部署完成后，访问 https://您的IP:8888 即可验证绿色锁标识是否出现。

四、安装自签名证书至本地设备以消除浏览器警告（临时方案）

当无法为 IP 获取受信证书时，可通过将宝塔自签名证书导入本地操作系统或浏览器的信任根证书库，实现单机免警告访问。此操作仅影响本机，不解决第三方访问问题。

1、进入宝塔文件管理器，打开路径：
/www/server/panel/ssl/

2、下载 certificate.pem 文件，并重命名为 btpanel.crt（Windows/macOS 推荐）。

3、Windows 系统双击 btpanel.crt →「安装证书」→ 存储位置选择「受信任的根证书颁发机构」→ 完成。

4、macOS 系统打开「钥匙串访问」→ 左侧选择「System」钥匙串 → 将 btpanel.crt 拖入窗口 → 双击证书 → 「信任」→「始终信任」→ 输入密码保存。

5、Linux（Ubuntu/Debian）执行：
sudo cp btpanel.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

6、所有平台均需重启浏览器后访问 https://您的IP:8888 才能生效。

好了，本文到此结束，带大家了解了《宝塔面板HTTPS证书配置方法》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！