一、域名解析验证
安装SSL证书前需确认域名已正确解析到服务器IP,且DNS记录生效时间超过24小时。若使用Let’s Encrypt证书,域名未生效会导致CA机构验证失败。建议通过阿里云DNS控制台检查解析记录,并使用在线工具进行DNS解析测试。
二、证书文件检查
需确保上传的证书文件完整且格式正确,包含以下要素:
- 证书文件(.crt或.pem)包含完整证书链
- 私钥文件(.key)与证书匹配
- 文件权限设置为644
可通过openssl命令验证证书与私钥是否匹配:openssl rsa -noout -modulus -in private.key | openssl md5
三、端口与防火墙配置
按顺序完成以下网络配置检查:
- 确认服务器443端口未被其他服务占用
- 在阿里云安全组中放行443端口
- 检查服务器防火墙设置:
firewall-cmd --list-ports
| 协议类型 | 端口范围 | 授权对象 |
|---|---|---|
| HTTPS | 443 | 0.0.0.0/0 |
四、软件版本更新
OpenSSL组件版本过低会导致证书安装失败,可通过以下命令升级环境:
pip install --upgrade pyOpenSSL
bt restart若出现X509Req.set_version
错误,需修改宝塔面板源码文件:/www/server/panel/class/acme_v2.py,将版本参数调整为0。
SSL证书安装失败通常由证书文件、网络配置、软件环境三方面问题导致。建议按域名解析→文件验证→端口配置→环境更新的顺序排查,使用宝塔面板的日志分析功能可快速定位错误代码。完成所有修正后需重启Nginx服务并清除浏览器缓存测试。
