宝塔面板安装 SSL 证书说明
宝塔面板适合不熟悉命令行的用户管理网站。很多企业官网、外贸站、展示站、WordPress 站点,都会通过宝塔来配置 Nginx、PHP、数据库和 SSL 证书。用面板安装证书,比手动改 Nginx 配置简单,但也不能随便点。特别是线上网站,如果证书填错、站点选错、强制 HTTPS 开早了,都可能导致网站打不开。
安装前先确认域名和站点
进入宝塔安装证书前,先确认三件事:域名已经解析到当前服务器;宝塔里已经创建对应站点;网站通过 HTTP 可以正常打开。如果域名还没有解析成功,或者网站本来就打不开,安装 SSL 证书并不能解决这些问题。如果服务器上有多个网站,要确认正在操作的是正确站点。不要把 A 域名的证书装到 B 域名上。如果你不是通过面板管理网站,而是手动配置 Nginx,可以查看《Nginx 安装 SSL 证书说明》。
证书内容不要粘错位置
手动安装证书时,一般需要填写证书内容和私钥内容。不同证书平台提供的文件名不同,本宝塔里通常会有对应填写位置。复制时要注意:不要漏掉开头和结尾;不要多复制无关文字;不要把证书和私钥填反;不要使用不匹配的证书和私钥;如果有证书链,按证书平台要求合并或填写。如果保存时报格式错误,多半是证书内容复制不完整、文件类型不对,或者证书和私钥不匹配。
开启强制 HTTPS 前,先测试
证书安装成功后,很多用户会马上开启强制 HTTPS。这个操作本身没问题,但建议先测试 HTTPS 是否正常。至少检查:首页是否能打开;网站后台是否能登录;图片、CSS、JS 是否正常加载;表单提交是否正常;支付、接口、会员登录是否正常;手机端和电脑端是否都正常。如果 HTTPS 还没测试好就强制跳转,可能导致用户访问 HTTP 也被跳到一个错误页面,前后台都不好操作。开启强制 HTTPS 前,建议先备份网站文件和数据库,具体可参考《数据备份与恢复建议》。
浏览器提示不安全,不一定是证书没装好
证书安装后,浏览器仍提示不安全,常见原因有几种:证书过期;证书域名不匹配;证书链不完整;页面里有 HTTP 资源;网站被嵌入了不安全脚本;CDN 或高防节点上的证书没有配置好。其中“页面存在 HTTP 资源”很常见。比如图片地址、CSS、JS 还是 http:// 开头,即使主域名已经是 HTTPS,浏览器也可能提示不完全安全。这时需要检查网站模板、数据库里的图片地址、外部脚本和插件设置。
宝塔面板本身也要保护好
很多用户只关心网站证书,却忽略面板安全。宝塔后台一旦被人拿到,风险很大,因为里面可能能操作网站文件、数据库、计划任务、证书和服务器配置。建议做到:面板密码设置复杂;不要把面板地址随便发给无关人员;能限制访问 IP 的尽量限制;不安装来源不明的插件;定期检查登录记录;重要网站定期备份。如果面板长期不更新,也可能存在安全隐患。更新前建议先备份,尤其是生产服务器。面板后台也属于服务器安全入口,建议结合《Linux 服务器基础安全设置》一起处理。
高防或 CDN 场景要看接入方式
如果网站接入了高防 IP、CDN 或反向代理,证书不一定只在宝塔里配置就够了。例如:用户访问的是高防 IP,源站在宝塔服务器;CDN 前端负责 HTTPS,源站只走 HTTP;前端和源站都需要 HTTPS;回源端口不是 443。不同接入方式配置不同。遇到这类情况,建议先确认当前访问链路,再决定证书装在哪里。