一、验证DNS解析有效性
通过以下步骤确认域名解析正确性:
- 使用终端执行
nslookup yourdomain.com验证解析IP - 检查域名注册商处A记录的TTL时间设置,新解析建议设置为600秒
- 确认DNS服务商未启用海外解析屏蔽功能,避免CA服务器无法验证
二、检查服务器配置文件
排查路径与权限问题:
- 确认
/www/wwwroot/站点目录/.well-known/acme-challenge/存在验证文件 - 检查目录权限设置为755,文件权限设置为644
- 验证Nginx配置文件中root路径与实际路径完全匹配
三、配置Nginx反向代理规则
在站点配置文件中添加特殊处理规则:
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /www/wwwroot/your_site_path;
allow all;
配置完成后执行nginx -s reload重启服务
四、检测端口与防火墙状态
关键检测项目包含:
- 使用
netstat -tuln | grep :80检查端口占用 - 确认云服务器安全组开放80/443端口入站规则
- 禁用可能影响验证的CDN加速服务
通过系统化排查DNS解析、文件验证路径、服务端口和反向代理配置,可解决90%的SSL证书申请失败问题。如仍无法解决,建议尝试腾讯云或阿里云的免费证书服务。
