宝塔面板给网站申请Let’s Encrypt证书DNS验证详细教程
以下是基于宝塔面板为网站申请Let’s Encrypt证书并通过DNS验证的详细教程,整合了多个可靠来源的操作步骤及注意事项:
一、前期准备
- 服务器与域名要求
- 确保域名已正确解析到服务器IP地址。
-
服务器需安装宝塔面板(推荐最新版本),并配置Web服务(如Nginx/Apache)。
- DNS服务商支持
- Let’s Encrypt的DNS验证需域名服务商支持API接口(如阿里云、腾讯云、DNSPod、Cloudflare等)。
-
提前获取DNS服务商的API密钥或Token(如阿里云的AccessKey/SecretKey、DNSPod的ID/Token)。
二、申请Let’s Encrypt证书(DNS验证)
- 登录宝塔面板
- 访问宝塔面板后台(如`http://服务器IP:8888`),输入账号密码登录。
- 进入SSL证书管理
- 左侧菜单点击「网站」→ 选择目标网站 → 点击「设置」→ 进入「SSL」选项卡。
- 选择Let’s Encrypt证书
- 点击「Let’s Encrypt」→ 勾选「DNS验证」方式。
- 配置DNS服务商API
- 根据域名服务商选择对应的DNS接口(如阿里云、DNSPod)。
-
以阿里云为例:
-
登录阿里云控制台,进入「AccessKey管理」页面,生成并保存AccessKey ID和Secret。
-
在宝塔面板的DNS验证页面,填写阿里云的AccessKey和Secret。
-
以DNSPod为例:
-
登录DNSPod官网,进入「API密钥」→「DNSPod Token」页面,获取ID和Token。
-
将ID和Token填入宝塔的DNSPod配置界面。
- 申请泛域名证书(可选)
- 勾选「自动组合泛域名」→ 输入主域名(如
example.com),无需勾选www或其他子域名。 -
点击「申请」按钮,系统自动生成
*.example.com通配符证书。
三、验证与安装
- 自动验证域名所有权
- 宝塔会通过DNS API自动添加
_acme-challenge的TXT记录,无需手动操作。 -
验证成功后,证书将自动签发并安装到服务器。
- 强制HTTPS(可选)
- 在「SSL」选项卡中勾选「强制HTTPS」,使所有HTTP请求重定向至HTTPS。
- 检查证书状态
- 访问`https://yourdomain.com`,确认浏览器地址栏显示绿色锁标志。
四、自动续期与维护
- 续期设置
- Let’s Encrypt证书有效期为90天,宝塔默认开启自动续期功能。
-
若使用CDN或对象存储,需手动同步更新证书。
- 常见问题处理
- 验证失败:检查API密钥是否正确、域名解析是否生效,或尝试更换DNS服务商。
-
续期失败:关闭反向代理或301重定向,确保验证文件可访问。
-
端口问题:确保服务器防火墙和安全组开放443端口。
五、优势与适用场景
- 优势
- 免费且自动化:无需手动续签,适合长期维护。
-
支持泛域名:一次申请可覆盖所有子域名,减少重复操作。
- 适用场景
- 多子域名网站(如博客、企业站)。
-
国内服务器需HTTPS加速的场景。
通过以上步骤,您可快速完成DNS验证的Let’s Encrypt证书申请。若需进一步简化操作,推荐使用宝塔的「一键部署」功能。