使用acme.sh为宝塔面板申请配置免费IP SSL证书

使用acme.sh为宝塔面板申请配置免费IP SSL证书

长期以来，宝塔面板默认使用自签名证书来提供HTTPS访问。虽然同样具备加密能力，但由于不被浏览器信任，访问面板时常常会出现「连接不安全」「证书不受信任」等提示，影响日常使用体验。

随着Let’s Encrypt正式支持免费IP HTTPS证书，即使没有域名，也可以为基于IP访问的服务签发浏览器可信的证书。这意味着，宝塔面板终于可以告别自签名证书，使用真正受信任的HTTPS访问方式。

本文将介绍如何通过acme.sh为宝塔面板申请并自动部署免费的IP HTTPS证书，替换默认自签名证书，实现安全、可信的面板HTTPS访问。

操作步骤

● Let’s Encrypt申请的IP证书有效期最长仅有160小时，具体请参考Let’s Encrypt官方说明
● 面板后期也会支持从面板直接申请Let’s Encrypt IP证书，敬请期待。如您动手能力较差，建议等待官方功能发布

// 安装acme.sh
1.通过SSH或面板终端登录到您的服务器，执行以下命令安装acme.sh：

curl https://get.acme.sh | sh -s email=[email protected]

请将 [email protected] (mailto:[email protected]) 替换为您的真实邮箱地址。

2.安装完成后，执行以下命令使acme.sh生效，也可重新进入终端使其生效：

source ~/.bashrc

1. 执行以下命令，确认acme.sh安装成功，预期可以看到版本号输出：

acme.sh --version

1. 执行以下命令，切换acme.sh默认的CA为Let’s Encrypt：

acme.sh --set-default-ca --server letsencrypt

至此，acme.sh安装完成。

申请免费IP证书

1. 在宝塔面板中创建一个新的站点，域名填写服务器的公网IP地址，其他选项根据需要配置，完成后点击【确定】。
2. 在终端中执行以下命令，使用acme.sh申请IP证书，请将YOUR_IP_ADDRESS替换为您的服务器公网IP地址：

acme.sh --issue --cert-profile shortlived -d YOUR_IP_ADDRESS --webroot /www/wwwroot/YOUR_IP_ADDRESS/

例如：
acme.sh --issue --cert-profile shortlived -d 114.132.47.153 --webroot /www/wwwroot/114.132.47.153/

1. 申请成功后，执行以下命令为面板部署SSL证书:

请使用独立的SSH终端窗口执行以下命令，不要使用面板终端，否则面板会因重启而中断当前操作。

PS：

● 使用命令前请确保已经在面板设置中开启了面板SSL功能（新安装面板通常已经默认开启）。
● –reloadcmd “service bt restart”参数用于在证书更新后自动重启宝塔面板服务，使新证书生效。

acme.sh --install-cert -d YOUR_IP_ADDRESS \
--key-file /www/server/panel/ssl/privateKey.pem \
--fullchain-file /www/server/panel/ssl/certificate.pem \
--reloadcmd "service bt restart"

请将YOUR_IP_ADDRESS替换为您的服务器公网IP地址，例如：

acme.sh --install-cert -d 114.132.47.153 \
--key-file /www/server/panel/ssl/privateKey.pem \
--fullchain-file /www/server/panel/ssl/certificate.pem \
--reloadcmd "service bt restart"

1. 至此，IP证书已成功部署到宝塔面板，效果如下图所示：

至此，我们已经通过acme.sh为宝塔面板成功部署了浏览器可信的免费IP HTTPS证书，并替换了默认的自签名证书。现在，无论是日常运维还是远程管理，访问面板时都不再需要额外的安全确认，整体体验和安全性都有了明显提升。

得益于Let’s Encrypt对IP证书的支持，这一方案无需域名、无需付费，并且可结合acme.sh实现自动续期，后续几乎无需额外维护。如果你还在忍受自签名证书带来的「不安全提示」，不妨按本文步骤配置一次，让宝塔面板的HTTPS访问真正变得安全、可信。

结尾彩蛋：

宝塔面板也正在规划 原生支持免费IP HTTPS证书的自动申请与部署能力，未来将无需手动执行命令，在面板内即可一键完成配置。相关功能正在推进中，敬请期待。