宝塔面板如何安装SSL证书链？在宝塔面板手动粘贴证书和密钥

需将服务器证书与中间证书合并为完整PEM链后填入宝塔面板证书栏，私钥单独填入KEY栏，顺序错误、空行或格式不符会导致浏览器提示“不完整证书链”。

如果您已获取完整的SSL证书链文件，但宝塔面板中仅粘贴了服务器证书导致浏览器提示“不完整证书链”，则需确保中间证书与服务器证书合并后一并填入证书（PEM格式）栏。以下是具体操作步骤：

一、确认证书链组成结构

标准证书链由三部分按顺序拼接构成：服务器证书（您的域名.crt）、中间证书（通常为CA_BUNDLE.crt或类似名称）、根证书（一般无需手动添加，因主流浏览器已内置）。若证书颁发机构提供的是单独的.crt和.ca-bundle文件，必须将二者内容按顺序合并，中间不留空行。

1、使用文本编辑器（如Notepad++、VS Code）打开服务器证书文件（例如 example.com.crt）。

2、另开一个编辑器窗口，打开中间证书文件（例如 example.com.ca-bundle）。

3、复制中间证书文件全部内容，粘贴至服务器证书内容末尾，两段之间不得插入空行或额外字符。

4、保存该合并后的文件，扩展名仍为.crt或.pem，此即为完整证书链文件。

二、在宝塔面板中正确填写证书与密钥

宝塔面板SSL设置页的“证书(PEM格式)”栏必须包含完整证书链，“私钥(KEY)”栏仅允许填入原始私钥内容，不可混入任何注释或说明文字。

1、登录宝塔面板，点击左侧菜单【网站】，找到目标站点并点击【设置】。

2、在设置窗口中点击【SSL】选项卡。

3、点击【当前证书】，进入手动填写界面。

4、用文本编辑器打开上一步生成的合并证书文件，全选并复制全部内容。

5、将复制的内容粘贴至【证书(PEM格式)】文本框中，确认开头为-----BEGIN CERTIFICATE-----，结尾为-----END CERTIFICATE-----，且中间无乱码或截断。

6、用文本编辑器打开私钥文件（.key），全选并复制其全部内容（开头应为-----BEGIN PRIVATE KEY-----或-----BEGIN RSA PRIVATE KEY-----）。

7、将私钥内容粘贴至【私钥(KEY)】文本框中，严禁修改、删减或添加任何字符，包括换行符以外的空白符。

8、点击【保存】按钮，等待面板返回“SSL配置已更新”提示。

三、验证证书链完整性

部署完成后需立即验证证书链是否被浏览器完整识别，避免因链缺失引发安全警告。验证依赖于客户端实际握手过程，而非仅看面板提示。

1、在浏览器地址栏输入https://您的域名，回车访问。

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

下载

2、点击地址栏左侧锁形图标，选择【连接是安全的】→【证书有效】（Chrome）或【证书信息】（Firefox）。

3、在证书详情窗口中切换至【详细信息】或【证书路径】标签页。

4、检查证书路径中是否显示至少两级：您的域名证书 → 中间CA证书，若仅显示一级或提示“此证书未启用信任”，说明证书链未正确合并或粘贴。

5、若验证失败，返回步骤一重新检查合并格式，特别注意.ca-bundle内容是否遗漏、顺序是否颠倒、是否存在隐藏Unicode字符。

四、处理常见证书链异常格式

部分CA（如Sectigo、GoDaddy）提供的证书包内含多个独立.crt文件，需人工判断主证书与中间证书；另有CA（如Let’s Encrypt）默认提供已合并的fullchain.pem，可直接使用。

1、查看各.crt文件首行：以您的域名命名的文件（如 www.example.com.crt）为主证书；含“intermediate”“ca-bundle”“sub.class”等字样的为中间证书。

2、若存在多个中间证书文件（如 AddTrust.crt + SectigoRSADomainValidationSecureServerCA.crt），需按签名关系逆序拼接：最末端中间证书在前，逐级向上，最后接主证书。

3、若使用OpenSSL命令验证链结构，可在服务器执行：openssl verify -untrusted intermediate.crt server.crt，返回“OK”表示链逻辑正确。

4、若证书文件为.p7b或.pfx格式，必须先转换为PEM：使用在线工具或OpenSSL命令openssl pkcs7 -print_certs -in cert.p7b -out cert.pem提取证书，再按前述方式合并。

五、跳过面板校验直接部署证书文件

当面板内置编辑器对长文本解析异常（如自动删除末尾换行、截断超长内容），可改用FTP或SSH方式将证书文件写入指定路径，再通过面板指向文件路径加载。

1、通过宝塔【文件】管理器或SFTP连接服务器，进入网站配置目录：/www/wwwroot/您的域名/ssl/（若不存在请手动创建）。

2、上传已合并的证书文件（命名为fullchain.pem）和私钥文件（命名为privkey.key）至该目录。

3、返回SSL设置页，点击【其他证书】→【从文件导入】，在弹出窗口中分别选择fullchain.pem和privkey.key。

4、勾选“启用SSL”及“强制HTTPS”，点击【部署】。

5、部署成功后，面板会自动读取文件内容并填充至对应文本框，此时可确认内容完整无误。