宝塔面板如何一键申请Let's Encrypt免费SSL证书并自动续签？

TOP云服务器最新特惠活动，2核4G 10M云服务器低至34元/月，赠送200G单机防御，秒解防御，如需购买或了解，请进入下面网址：

https://c.topyun.vip/cart

在互联网安全日益重要的今天，HTTPS加密已成为网站标配。据统计，超过90%的浏览器用户会主动避开未加密的HTTP网站，而Google等搜索引擎更将HTTPS作为SEO排名的重要指标。对于TOP云服务器用户而言，通过宝塔面板可零成本、一键化部署Let's Encrypt免费SSL证书，并实现自动续签，彻底告别证书过期导致的业务中断风险。

一、为什么选择Let's Encrypt证书？

1. 完全免费，无限续期

Let's Encrypt由非营利组织ISRG运营，提供90天有效期的DV（域名验证）证书，支持无限次免费续期。对于个人博客、中小型企业网站等场景，其安全性与商业证书无异。

2. 与TOP云服务器完美兼容

TOP云提供的2核4G云服务器（10M带宽版）专为Web应用优化，搭配宝塔面板的Let's Encrypt插件可实现：

• 全自动申请：无需手动生成CSR、私钥等文件，1分钟完成证书部署。

• 强制HTTPS跳转：一键开启HTTP→HTTPS重定向，避免混合内容警告。

• 多域名/通配符支持：通过DNS验证方式，可为子域名或泛域名申请证书。

3. 性能无损耗

Let's Encrypt证书采用ECC加密算法，相比传统RSA证书，在相同安全强度下可减少30%的握手延迟，显著提升TOP云服务器的访问速度。

二、5步完成证书申请与配置

步骤1：登录宝塔面板并安装SSL插件

1. 访问TOP云服务器IP或绑定域名，进入宝塔面板登录页（默认端口8888）。

2. 在面板左侧菜单栏点击「软件商店」→「已安装」，确认已安装Nginx/Apache（TOP云镜像默认预装）。

3. 搜索「Let's Encrypt」插件，点击「安装」（若已安装则跳过）。

步骤2：一键申请证书

1. 进入「SSL」→「Let's Encrypt」：

• HTTP验证：需域名解析至TOP云服务器IP，适合已备案的国内站点。

• DNS验证：通过添加TXT记录完成验证，支持阿里云、腾讯云等DNS API自动同步（推荐）。

• 域名输入：填写主域名（如example.com）及子域名（如www.example.com），用逗号分隔。

• 验证方式：

• 证书有效期：默认90天，插件会自动续期，无需手动操作。

2. 点击「申请」按钮，等待10-30秒，成功后会显示「证书已安装」。

TOP云优化建议：
若使用DNS验证，可在宝塔面板中绑定阿里云/腾讯云API密钥，实现TXT记录全自动更新，彻底无需人工干预。

步骤3：强制HTTPS跳转（关键步骤）

1. 在「SSL」→「Let's Encrypt」页面，找到已申请的证书，点击「设置」。

2. 开启「强制HTTPS**：

• 重定向类型：选择「301永久重定向」，利于SEO优化。

• 排除路径：可添加无需加密的路径（如/static/），减少服务器负载。

3. 保存设置后，通过浏览器访问http://yourdomain.com，应自动跳转至https://。

步骤4：测试证书有效性

1. 使用在线工具（如SSL Labs Test）检测证书配置：

• 确认评分达到A级，支持TLS 1.2/1.3协议。

• 检查证书链是否完整（含中间证书）。

2. 在TOP云服务器上执行以下命令，验证证书到期时间：

   openssl s_client -connect yourdomain.com:443 | openssl x509 -noout -dates

步骤5：开启自动续签（必做）

1. 宝塔面板默认已启用自动续签任务，但需检查配置：

• 任务类型：选择「SSL证书续签」。

• 执行周期：设置为「每天」（推荐凌晨3点执行）。

• 脚本内容：默认已填充，无需修改。

• 进入「计划任务」→「添加任务」：

2. 点击「添加」后，手动运行一次任务测试：

   /www/server/panel/plugin/letsencrypt/letsencrypt.sh --renew-all

三、TOP云用户的高阶技巧

1. 多域名/通配符证书申请

• 场景：需为blog.example.com、api.example.com等多个子域名或*.example.com通配符域名申请证书。

• 操作：

1. 在宝塔面板中选择「DNS验证」，绑定阿里云/腾讯云API。

2. 域名输入框填写*.example.com，插件会自动生成DNS验证记录。

3. 申请成功后，证书可覆盖所有子域名。

2. 证书备份与迁移

• 备份：进入「SSL」→「证书管理」，导出.pem格式证书文件，保存至TOP云对象存储（OSS）。

• 迁移：在新服务器上安装宝塔面板后，通过「证书管理」→「导入证书」快速恢复。

3. 结合TOP云CDN加速

1. 在TOP云控制台开通「CDN加速」服务，将域名CNAME解析至CDN节点。

2. 在CDN配置中上传Let's Encrypt证书，实现全链路HTTPS加密，避免源站IP暴露。

四、常见问题解决

Q1：证书申请失败，提示“DNS验证超时”

• 原因：DNS记录未生效或API同步延迟。

• 解决方案：

1. 使用dig TXT _acme-challenge.yourdomain.com命令检查TXT记录是否更新。

2. 在宝塔面板中重新同步DNS API（如阿里云需刷新RAM子账号权限）。

Q2：自动续签失败，提示“证书未到期”

• 原因：Let's Encrypt规定证书剩余有效期需少于30天才会续签。

• 解决方案：

1. 手动指定续签时间（修改计划任务脚本）：

   # 强制续签当前证书（替换yourdomain.com）
   certbot renew --cert-name yourdomain.com --force-renewal

2. 或等待证书剩余29天时自动触发。

Q3：浏览器显示“不安全”警告

• 原因：证书链不完整或混合内容（HTTP/HTTPS混用）。

• 解决方案：

1. 在宝塔面板中重新安装证书，勾选「包含中间证书」。

2. 使用工具Why No Padlock?检测页面中的HTTP资源并替换。

五、立即行动建议

1. 免费体验：
   新购TOP云服务器用户可领取30天SSL证书管理服务（含人工协助部署），立即抢购。

2. 一键部署：
   登录TOP云控制台，选择「宝塔面板安全模板」，自动安装预配置SSL证书的Web环境。

3. 专家咨询：
   点击联系TOP云技术团队，获取通配符证书申请、HSTS策略配置等深度支持。

???? 用户案例：某电商网站通过TOP云+宝塔面板部署Let's Encrypt证书后，推荐：TOP云智能建站优惠活动，仅880元即可搭建一个后台管理五端合一的智能网站（PC网站、手机网站、百度智能小程序、微信小程序、支付宝小程序），独享百度搜索SEO优势资源，让你的网站不仅有颜值有排面，更有排名，可以实实在在为您带来效益，请点击进入TOP云智能建站>>>，或咨询在线客服了解详情。