AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 数字证书管理服务(原SSL证书) 操作指南 SSL证书管理 部署SSL证书 在服务端部署SSL证书 登录服务器部署(支持国际/国密SSL证书) 部署国际标准SSL证书 在宝塔面板安装SSL证书

在宝塔面板安装SSL证书(Linux)

更新时间:
产品详情
我的收藏

本文介绍如何在宝塔面板配置SSL证书以及安装SSL证书后结果的验证。成功配置SSL证书后,将能够通过HTTPS加密通道安全访问应用,确保数据传输的安全性。

重要

不同版本的宝塔面板,部署操作可能有所差异,如有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

前提条件

  • 已通过数字证书管理服务购买和申请证书(状态已签发)。如需购买和申请证书,请参见购买正式证书申请证书

  • 域名已正确解析至当前服务器,且已完成工信部 ICP 备案(适用于中国内地服务器)。

    如何查看域名解析记录以及 ICP 备案信息

    打开网络拨测工具,选择网络诊断分析,输入当前域名,确认以下信息:

    • DNS 服务商解析结果中 A 记录的 IP 为当前服务器的公网 IP。

    • 备案检查网站已备案。若显示“网站未备案,请咨询网站服务器提供商”,请完成备案后再安装证书。

  • 已经安装宝塔面板,如果还未安装宝塔面板,请参见安装宝塔面板指导文档进行安装。

    说明

    • 若服务器为阿里云ECS,可参见部署宝塔面板快捷安装宝塔面板。

    • 关于宝塔面板安装使用的更多信息,请参见宝塔官网

操作步骤

步骤一:下载SSL证书和私钥文件

  1. 登录数字证书管理服务控制台。在左侧导航栏选择证书管理 > SSL证书管理

  2. SSL证书管理页面,定位需部署的目标证书,并确认以下信息:

    1. 证书状态:确保其为已签发。若为即将过期已过期,则需续费SSL证书

    2. 绑定域名:确保其能够匹配所有需保护的域名,否则未匹配的域名访问 HTTPS 时将出现安全警告。如需添加或修改,请参见追加和更换域名

      确认证书是否匹配目标域名

      证书的绑定域名可包含多个精确域名和通配符域名。每类域名的匹配规则如下:

      • 精确域名:仅对指定域名生效。

        • example.com 仅对 example.com 生效。

        • www.example.com 仅对 www.example.com 生效。

      • 通配符域名:仅对其一级子域名生效。

        • *.example.com 对 www.example.coma.example.com 等一级子域名生效。

        • *.example.com 对根域名 example.com 和多级子域名 a.b.example.com 不生效。

      说明

      如需匹配多级子域名,绑定域名中需包含该域名(如 a.b.example.com),或包含相应的通配符域名(如 *.b.example.com)。

  3. 下载页签中下载服务器类型其他,单击下载

  4. 解压下载的证书压缩包:

    • 若同时包含证书文件(.pem)和私钥文件(.key),请妥善保存上述文件,后续部署时均需使用。

    • 若仅包含证书文件(.pem),不含私钥文件(.key),需配合您本地保存的私钥文件一起部署。

      说明

      若申请证书时使用 OpenSSL、Keytool 等工具生成 CSR 文件,私钥文件仅保存在您本地,下载的证书包中不包含私钥。如私钥遗失,证书将无法使用,需重新购买正式证书并生成CSR和私钥。

步骤二:开放安全组和防火墙的443端口

启用SSL证书以支持 HTTPS 访问时,需确保 HTTPS 端口(默认443)处于开放状态,否则将导致HTTPS访问失败。以下为端口状态确认及开放的参考步骤:

  1. 登录服务器。

    Linux

    阿里云服务器

    以下操作以阿里云云服务器 ECS 为例进行说明,其他类型的服务器请参照对应产品文档进行操作。

    1. 登录ECS管理控制台,在页面左侧顶部,选择目标ECS实例所在地域。

    2. 在左侧导航栏中选择实例与镜像 > 实例,在实例页面找到目标ECS实例,点击操作列的远程连接

    3. 在弹出的对话框中,选择通过Workbench远程连接并单击立即登录

    4. 选择终端连接作为连接方式,输入相关认证信息,并根据页面提示完成登录,即可进入服务器终端。详细操作请参考使用Workbench登录ECS实例

      说明

      若系统弹出“安全组白名单开通提示”面板,请按照页面提示单击一键添加

    其他云厂商服务器

    请通过对应云厂商提供的远程连接功能登录服务器终端。

    非云厂商服务器(如物理服务器、IDC托管主机等)

    请在本地使用SSH工具登录服务器终端。

    • Windows:在命令提示符(cmd)或PowerShell中运行:ssh用户名@服务器IP。如不支持 ssh 命令,可使用第三方软件(如 PuTTYWinSCP等)进行连接。

    • macOS/Linux:在系统自带的终端(Terminal)中运行:ssh用户名@服务器IP

    Windows

    阿里云服务器

    以下操作以阿里云云服务器 ECS 为例进行说明,其他类型的服务器请参照对应产品文档进行操作。

    1. 登录ECS管理控制台,在页面左侧顶部,选择目标ECS实例所在地域。

    2. 在左侧导航栏中选择实例与镜像 > 实例,在实例页面找到目标ECS实例,点击操作列的远程连接

    3. 在弹出的对话框中,选择通过Workbench远程连接并单击立即登录

    4. 选择终端连接作为连接方式,输入相关认证信息,并根据页面提示完成登录,即可进入服务器终端。详细操作请参考使用Workbench登录ECS实例

      说明

      若系统弹出“安全组白名单开通提示”面板,请按照页面提示单击一键添加

    其他云厂商服务器

    请通过对应云厂商提供的远程连接功能登录服务器终端。

    非云厂商服务器(如物理服务器、IDC托管主机等)

    请在本地使用登录服务器。

    • Windows:在系统自带的远程桌面连接应用进行连接。

    • macOS:可以在软件商店下载Windows App(之前名为Microsoft远程桌面)进行连接。

  2. 开放443端口。

    重要

    若是非标准端口使用HTTPS,请开放对应端口即可。

    Linux

    1. 在服务器终端执行以下命令,检测443端口的开放情况:

      RHEL/CentOS 系列
      command -v nc > /dev/null 2>&1 || sudo yum install -y nc
# 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443

      如果输出 Ncat: Connected to <当前服务器公网 IP>:443,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。

      Debian/Ubuntu 系列
      command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
# 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443

      若输出 Connection to <当前服务器公网 IP> port [tcp/https] succeeded![<当前服务器公网 IP>] 443 (https) open,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。

    2. 若端口未开放,可参照如下操作在安全组和防火墙中开放443端口。

      1. 在安全组中开放 443 端口

      重要

      若您的服务器部署在云平台,请确保其安全组已开放 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例,其他云平台请参考其官方文档。

      1. 登录ECS管理控制台,在页面左侧顶部,选择目标 ECS 实例所在地域。在实例页面,找到目标 ECS 实例。

      2. 单击目标实例名称,进入实例详情页面,单击安全组 > 内网入方向全部规则,确保存在一条授权策略允许协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象任何位置(0.0.0.0/0)的规则。

      3. 如不存在上述规则,请按以下步骤添加。更多安全组配置请参见添加安全组规则

        1. 在 ECS 实例详情页面,单击安全组 > 安全组列表,选择目标安全组并进入其详情页。

        2. 在安全组详情页的安全组详情 > 入方向下,单击增加规则

        3. 新建安全组规则面板,访问目的(本实例)设置为 HTTPS(443),其余参数保持默认值,单击确定即可。

      2. 在服务器本地防火墙中开放 443 端口

      执行以下命令,识别系统当前的防火墙服务类型:

      if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
    echo "firewalld"
elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
    echo "ufw"
elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
    echo "nftables"
elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
    echo "iptables"
elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
    echo "iptables"
else
    echo "none"
fi

      若输出为 none,则无需进一步操作。否则,请根据输出的类型(firewalldufwnftablesiptables),执行以下命令开放 443 端口:

      firewalld
      sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload
      ufw
      sudo ufw allow 443/tcp
      nftables
      sudo nft add table inet filter 2>/dev/null
sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null
      iptables
      sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

      为避免 iptables 规则在系统重启后失效,请执行以下命令持久化 iptables 规则:

      RHEL/CentOS 系列
      sudo yum install -y iptables-services
sudo service iptables save
      Debian/Ubuntu 系列
      sudo apt-get install -y iptables-persistent
sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null

    Windows

    1. 在安全组中开放 443 端口

    重要

    若您的服务器部署在云平台,请确保其安全组已开放入方向 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例,其他云平台请参考其官方文档。

    1. 登录ECS管理控制台,在页面左侧顶部,选择目标 ECS 实例所在地域。在实例页面,找到目标 ECS 实例。

    2. 单击目标实例名称,进入实例详情页面,单击安全组 > 内网入方向全部规则,确保存在一条授权策略允许协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象任何位置(0.0.0.0/0)的规则。如不存在此规则,请进行添加。

      如何添加安全组规则

      1. 在 ECS 实例详情页面,单击安全组 > 安全组列表,选择目标安全组并进入其详情页。

      2. 在安全组详情页的安全组详情 > 入方向下,单击增加规则

      3. 新建安全组规则面板,将访问目的(本实例)设置为 HTTPS(443),其余参数保持默认值,单击确定即可。

      4. 更多安全组配置请参见添加安全组规则

    2. 在服务器本地防火墙中开放 443 端口

    1. 登录Windows服务器,单击左下角开始菜单,打开控制面板

    2. 点击系统和安全 > Windows防火墙 > 检查防火墙状态

    3. 如果防火墙处于如下图的关闭状态,无需额外操作。image

    4. 如果防火墙已开启,需放行HTTPS规则。

      如何放行防火墙HTTPS规则

      1. 单击左侧高级设置 > 入站规则,检查是否存在协议TCP,本地端口443,操作阻止的入站规则。

      2. 若存在此类规则,需要右键单击相应规则并选择属性,在常规页签,将其修改为允许连接应用

      3. 更多防火墙配置,请参见配置防火墙规则

步骤三:登录宝塔面板安装SSL证书

  1. 在浏览器中登录宝塔面板。

    说明

    若无法登录宝塔面板,可参考无法访问宝塔面板的排查思路寻求解决方案。

    若忘记宝塔面板地址及账号密码,可参考如下操作:

    如何查看宝塔面板地址及账号密码?

    宝塔Linux面板

    1. 登录服务器,参见Linux

    2. 执行查询命令。

      • 若是首次登录宝塔面板,执行以下命令即可获取登录信息。

        说明

        初始密码仅在首次登录面板时显示,请妥善保管密码。

        bt 14

        回显信息类似如下所示:

        image

      • 若非首次登录且忘记密码,请执行以下操作命令修改密码。修改成功后请使用新密码登录即可。

        bt 5

    宝塔Windows面板

    1. 登录服务器,参见Windows

    2. Windows操作系统桌面上,双击宝塔快捷图标图标。

    3. 宝塔Windows面板工具箱对话框中,查看宝塔面板地址。

      image

    4. 在具有公网访问能力的Windows主机的浏览器中,输入宝塔面板地址访问宝塔面板。

  2. 登录面板后,在左侧导航栏,单击网站。选择项目,并在SSL证书列,单击未部署image

  3. 在本地使用文本编辑器,打开步骤一保存的证书文件(.pem)和私钥文件(.key),然后复制全部内容并将其粘贴至相应位置。

    image

  4. 开启强制HTTPS(可选):在步骤3配置页单击image开关。

    网站绑定HTTPS后,系统默认仍保留 HTTP 访问通道。若直接移除HTTP绑定,可能导致依赖HTTP协议的用户无法正常访问。建议开启强制 HTTPS 功能,实现HTTP请求自动跳转至 HTTPS,既保障访问连续性,又确保通信安全。

  5. 单击保存并启用证书,完成后显示证书可用时间。

    image

步骤四:验证SSL证书是否配置成功

  1. 请通过 HTTPS 访问您已绑定证书的域名(如 https://yourdomain.comyourdomain.com 需替换为实际域名)。

  2. 若浏览器地址栏显示安全锁图标,说明证书已成功部署。如访问异常或未显示安全锁,请先清除浏览器缓存或使用无痕(隐私)模式重试;如仍有问题,请参考常见问题进行排查。

    image

    说明

    Chrome 浏览器自 117 版本起,地址栏中的image已被新的image替代,需单击该图标后查看安全锁信息。

    image

后续步骤(可选)

开启域名监控

建议在证书部署完成后,为域名开启域名监控功能。系统将自动检测证书有效期,并在到期前发送提醒,帮助您及时续期,避免服务中断。具体操作请参见购买并开启公网域名监控

常见问题

安装或更新证书后,证书未生效或HTTPS无法访问

常见原因如下:

如何在宝塔面板中更新(替换)SSL证书?

  1. 将新的 SSL 证书(.pem 文件)和私钥(.key 文件)下载到本地。

  2. 在宝塔面板,在左侧导航栏,单击网站。选择项目,并在操作列,单击设置

  3. 在站点修改弹窗中,单击左侧导航栏的SSL

  4. 在当前证书页签,将证书文件内容覆盖至对应的文本框中。

    1. 将 .key 文件中的内容复制并替换掉宝塔面板中密钥(KEY)文本框中的内容。

    2. 将 .pem 文件中的内容复制并替换掉宝塔面板中证书(PEM 格式)文本框中的内容。

  5. 单击保存

上一篇:在Nginx或Tengine服务器安装 SSL证书(Linux)下一篇:在Apache服务器安装SSL证书(Linux)