Lets Encrypt SSL手动申请安装教程 宝塔面板HTTPS证书续期

今天忽然发现一个https协议网站打不开，进入后台查看问题出在了ssl证书到期，这个网站使用的是宝塔面板免费版，初始也是在面板SSL下申请的，采用的是文件验证方式，这种方式是申请下的证书有效期是三个月，到期后宝塔面板说是会自动续期，不知道是自己动了什么还是权限之类的，证书没有自动续期，也就导致了这次的网站打不开，错误当然是证书错误。

当重新申请时，提示“以下域名解析错误,或解析未生效”错误，以至无法手动重新续期，百度搜索了下，发现相同问题出现的不少，按照他们的教程说是1.存在301重定向，2.证书文件删除不干净；也是重新设置网站，在确保了域名没有重定向设置（连伪静态都关闭了）、证书文件也删除干净，再次申请，错误依旧。。崩溃中。。。

后面不得不自己去申请Lets Encrypt证书。想象中自己申请会很麻烦，没想到过程确实十分顺滑，基本上是花在等待DNS解析的成功。下面分享下步骤：

1.进入Lets Encrypt官网注册

https://letsencrypt.osfipin.com/

只需要一个邮箱即可，这个邮箱确保自己能登入上，因为会发验证地址，登入邮箱后点开右键（可能会在垃圾箱里），打开验证链接即可，你的账号处于激活状态。

2.添加申请证书域名

找到这个大黄色的“申请证书”按钮，就可以填写需要申请ssl域名详细

填写域名的时候填写一级域名，然后框选后面两个勾这样就是个通配证书

3.域名验证

域名填写后需要验证域名的所有权，一共需要两次验证，第一次只有DNS验证方式，第二次有两种DNS和HTTP方式，登入了域名管后台，新增TXT解析类型，然后按照要求二级域名和解析值都复制粘贴上确定即可，至于第二步中的http验证方式会比较麻烦，要在网站目录新建目录后再下载一个文件放进去，好在不用等解析时间。

两次都做好了，接下来就是等，比较费时间，因为需要等待域名解析成功，一般时间也不定，几分钟到十几分钟的都有。可以隔个几分钟后点击页面最下面的“验证全部”，解析成功了也就验证成功。

4.SSL证书安装

证书申请完成后可以下载，下载本地后是个压缩文件

解压里面有好几个文件，但不一定你都需要，是为了兼容各种环境而已，像我这种使用宝塔面板的需要两个文件fullchain.crt和private.pem，分别用Notepad++，sublime等编辑器打开复制粘贴到宝塔面板网站管理->设置->SSl->其他证书的证书密钥里，对应关系如图:

至此证书申请安装已完成，将强制https开关打开，网站就可以正常以https协议打开了。这种方式申请下来的证书也是有三个月期限的，到期后需要在验证域名后下载证书重新复制粘贴证书密钥安装即可，所以保存好你的Lets Encrypt网址账号密码。

如果之前修改过配置文件，增加了一些配置，可能会造成使用其他证书开启ssl后强制https时提示网站未开启ssl，这种情况可以先把增加的配置条件先删除掉，开启ssl后再添加上即可。如果已经不知道新增了哪些配置，可以先备份站点配置（包括伪静态）后删除站点，再新建站点，这样就是相当于初始化站点配置，设置好ssl强制https成功后根据备份的站点配置文件修改新的配置文件（包括伪静态）。

还有一些因素可能会导致不成功，可以试着删除这些目录下的站点文件目录：

/etc/letsencrypt/live/  //旧版
/www/server/panel/vhost/ssl/  
/www/server/panel/vhost/cert/  //新版