应替换宝塔面板自签名证书为受信IP HTTPS证书,方法包括:一、用acme.sh为公网IP申请Let's Encrypt证书;二、手动覆盖SSL目录证书文件;三、通过面板内置SSL功能申请;四、导入自签名证书至本地信任库。
如果您尝试通过 HTTPS 访问宝塔面板(如 https://服务器IP:8888),但浏览器持续提示「您的连接不是私密连接」或「证书不受信任」,则说明当前面板仍在使用系统自签名证书。该证书未被操作系统及主流浏览器根证书库信任,需替换为 Let's Encrypt 等受信机构签发的 IP HTTPS 证书。以下是多种可行的配置方法:
一、使用 acme.sh 为 IP 地址申请 Let's Encrypt 免费证书
acme.sh 是轻量级 ACME 协议客户端,支持直接为公网 IP 申请受信证书(需 IP 可被公网访问且开放 80 端口)。此方法不依赖域名,适用于纯 IP 面板访问场景。
1、登录服务器终端,执行安装命令:
curl https://get.acme.sh | sh -s email=my@example.com
2、使 acme.sh 环境变量生效:
source ~/.bashrc
3、设置默认 CA 为 Let's Encrypt:
acme.sh --set-default-ca --server letsencrypt
4、在宝塔面板中新建一个站点,域名填写您的服务器公网 IP 地址(例如 123.123.123.123),根目录可任意指定,保存站点。
5、执行证书申请命令(以 IP 为 123.123.123.123 为例):
acme.sh --issue --webroot /www/wwwroot/123.123.123.123 -d 123.123.123.123
6、安装证书至宝塔面板指定路径:
acme.sh --installcert -d 123.123.123.123 \
--key-file /www/server/panel/ssl/privateKey.pem \
--fullchain-file /www/server/panel/ssl/certificate.pem \
--reloadcmd "service bt restart"
7、重启宝塔面板服务:
bt restart
二、手动替换面板 SSL 目录下的证书文件
若已通过其他方式(如腾讯云、阿里云等平台)获取了适用于 IP 的 PEM 格式证书与私钥,可直接覆盖面板默认证书路径中的文件,实现快速生效。
1、确认证书格式:需同时具备 证书文件(含服务器证书+中间证书,PEM 格式) 和 私钥文件(KEY 格式,无密码)。
2、使用宝塔文件管理器或 SSH 登录服务器,进入目录:
/www/server/panel/ssl/
3、备份原证书文件:
mv certificate.pem certificate.pem.bak
mv privateKey.pem privateKey.pem.bak
4、将新证书内容分别写入对应文件:
echo "-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----" > certificate.pem
echo "-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----" > privateKey.pem
5、确保文件权限正确:
chmod 600 /www/server/panel/ssl/*.pem
6、重启面板使证书生效:
bt restart
三、通过宝塔面板内置 SSL 功能申请 IP 证书(需满足条件)
宝塔新版面板(v8.0+)已支持在【SSL】页面中直接为 IP 地址申请 Let's Encrypt 证书,前提是服务器具备可被公网验证的 HTTP 访问能力(即 80 端口开放且能响应 acme 挑战)。
1、登录宝塔面板,点击左侧菜单【SSL】。
2、在【Let's Encrypt】选项卡下,输入您的服务器公网 IP 地址作为域名(不可加 http:// 或端口号)。
3、勾选「使用 DNS API」或「使用 Web 根目录验证」;若 IP 对应站点已存在且可访问,推荐选择后者。
4、点击【申请】按钮,等待状态变为「已签发」。
5、申请成功后,点击【部署】→【部署到面板】,面板将自动复制证书至 /www/server/panel/ssl/ 并重启服务。
6、部署完成后,访问 https://您的IP:8888 即可验证绿色锁标识是否出现。
四、安装自签名证书至本地设备以消除浏览器警告(临时方案)
当无法为 IP 获取受信证书时,可通过将宝塔自签名证书导入本地操作系统或浏览器的信任根证书库,实现单机免警告访问。此操作仅影响本机,不解决第三方访问问题。
1、进入宝塔文件管理器,打开路径:
/www/server/panel/ssl/
2、下载 certificate.pem 文件,并重命名为 btpanel.crt(Windows/macOS 推荐)。
3、Windows 系统双击 btpanel.crt →「安装证书」→ 存储位置选择「受信任的根证书颁发机构」→ 完成。
4、macOS 系统打开「钥匙串访问」→ 左侧选择「System」钥匙串 → 将 btpanel.crt 拖入窗口 → 双击证书 → 「信任」→「始终信任」→ 输入密码保存。
5、Linux(Ubuntu/Debian)执行:
sudo cp btpanel.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
6、所有平台均需重启浏览器后访问 https://您的IP:8888 才能生效。
