宝塔面板SSL证书自动申请失败?DNS验证手动申请教程
很多站长在宝塔面板申请SSL证书时,会遇到自动申请失败的情况,其实不用慌,用DNS验证的方式手动申请就能解决,还支持通配符证书(比如*.xxx.com)。11评选整理了两种DNS验证方法,手动填写和API自动验证,步骤详细,图文结合,新手也能跟着做成功。
一、手动申请方法(最通用,适合所有域名服务商)
手动方法不用配置API,直接在域名服务商后台添加解析记录就行,虽然多了两步,但胜在稳定,不容易出错,咱们一步步来:
1. 宝塔面板发起申请,选择DNS验证
登录宝塔面板,找到目标网站,点击“SSL”设置;
在证书申请页面,选择“Let's Encrypt”,验证方式选“手动(DNS验证)”;
勾选需要的参数(推荐全勾选,反正都是免费的),如果要申请通配符证书,记得勾选“通配符证书”选项;
点击“申请”,之后会生成需要添加的DNS记录(一般是1条TXT记录+1条CAA记录)。
2. 去域名服务商后台添加DNS解析记录
这一步是核心,要准确复制记录值,不能出错:
登录你的域名服务商后台(比如阿里云DNS、腾讯云DNS、Cloudflare等),找到目标域名的“DNS解析”管理页面;
添加第一条TXT记录:主机记录填宝塔生成的内容(比如_acme-challenge),记录类型选“TXT”,记录值复制宝塔给出的字符串(重点:复制后一定要检查结尾有没有空格,有就删掉,否则验证会失败);
添加第二条CAA记录:主机记录留空或填“@”,记录类型选“CAA”,标志填“0”,CA域名填letsencrypt.org(这是Let's Encrypt的专属CA域名,不能填错);
保存两条记录,等待DNS生效(一般1-10分钟,快的话1分钟就好)。
3. 回到宝塔面板完成验证
DNS记录生效后,回到宝塔的证书申请页面,点击“验证”,系统会检查解析记录是否正确,没问题的话就会自动颁发证书,之后宝塔会自动配置好SSL,网站就能用HTTPS访问了。
手动申请关键注意事项(避坑重点)
TXT记录值别带空格:复制记录值时,结尾容易多带一个空格,验证时系统会把空格算进去,导致匹配失败,一定要手动检查删掉;
CAA记录别填错:标志必须是“0”,CA域名必须是letsencrypt.org,填其他值会导致证书申请被拒绝;
等待DNS生效:添加完解析别马上点验证,等1-10分钟,尤其是海外域名服务商,生效可能慢一点,着急的话可以用DNS查询工具(比如DNSChecker)确认记录是否生效。
二、API方法(自动验证,适合经常申请证书的用户)
API方法是自动添加DNS记录,不用手动去域名服务商后台操作,适合需要批量申请证书,或者经常续签的用户,步骤更简单:
1. 获取域名服务商的API密钥
登录你的域名服务商后台,找到“API管理”或“AccessKey管理”(不同平台位置不一样,比如阿里云在“控制台→AccessKey管理”,腾讯云在“访问管理→API密钥”);
创建或查看API账号和密码(AccessKey ID和AccessKey Secret),记得保存好,不要泄露。
2. 宝塔面板配置API,自动申请
登录宝塔面板,进入“SSL”设置→“证书申请”,选择“Let's Encrypt”,验证方式选对应的域名服务商API(比如“阿里云DNS API”“腾讯云DNS API”);
填写刚才获取的API账号和密码,勾选需要的参数(比如通配符证书);
点击“申请”,宝塔会自动通过API添加DNS解析记录,完成验证后再自动删除临时记录,全程不用手动干预。
API方法小提示
不同域名服务商的API申请位置和权限设置不一样,如果配置后提示“API验证失败”,可以检查这两点:① API密钥是否正确,有没有开启DNS管理权限;② 域名是否真的托管在该服务商的DNS解析平台(比如域名在阿里云注册,但DNS用的是Cloudflare,就不能选阿里云API)。
三、常见问题:验证失败怎么办?
问题1:TXT记录验证失败→检查记录值有没有带空格,主机记录是不是填对了(比如多填了域名后缀),DNS有没有生效;
问题2:CAA记录错误→确认标志是“0”,CA域名是letsencrypt.org,主机记录没填错;
问题3:通配符证书申请失败→确保勾选了“通配符证书”,TXT记录的主机记录是_acme-challenge(不带子域名)。
11评选觉得,手动方法虽然麻烦一点,但通用性强,不容易出问题,新手优先选;如果经常申请证书,或者有多个域名,配置API方法更省时间。两种方法都能成功申请到SSL证书,而且Let's Encrypt证书有效期90天,宝塔会自动续签,后续不用再手动操作,很方便。
