为啥你的宝塔 SSL 自动续签总是失败？

自从【为什么各大云服务大厂 SSL 证书有效期都缩短到了 90 天？】一文发布，站长们抱怨的，有失望的，又直接购买付费SSL 证书的，其实有关SSL 证书大家自由选择就是了，此文的主要意思就是浏览器是希望网站多采用 SSL 自动化管理来增强 SSL 证书的安全性而已，也不用过度解读了。解决起来也是很简单的，从 SSL 证书开始普及就诞生了很多优秀的 SSL 自动化工具，比较著名的就是国产 acme.sh 脚本了，明月就是参考 acme.sh 官方的中文教程自服务器上完成的 SSL 管理自动化，当然更早期的还有 Certbot，是用于自动化 Let’s Encrypt 证书管理的命令行工具。

acme.sh 是明月最喜欢，也是这几年一直在用的 SSL 证书自动化管理工具。

上面提到的 SSL 证书自动化管理工具有个最大的不足，都是命令行工具，对于很多新手站长来说不友好。其实，我们很多站长用的宝塔面板也是支持 SSL 自动化管理的，而造成宝塔面板SSL 证书自动续期总是失败的一个主要原因，就是很多人没有用对方式，大家用的最多的都是默认的“文件验证”方式来申请 SSL 证书并自动续期的，这个方式其实早就落伍了，因为其会用到 80 端口请求，还不支持泛域名证书的申请，还会带来不少安全上的隐患。目前，公认的申请、自动续期 SSL 证书最稳定、最快捷、最安全的方式是 DNS 验证，并且国内外各大域名注册托管机构都提供了 DNS 验证的 API 调用，也就是说不存在兼容性问题，国内外域名都可以通过 DNS 验证快速、安全的申请各个品牌的免费证书。

宝塔的 SSL 证书管理，免费的好像只能申请 Let's Encrypt 的，这其实对于我们很多网站来说足够了，并且 Let's Encrypt 的证书也是各个主流浏览器支持最好的免费证书，唯一需要大家注意的就是在申请的时候一定要选择上图所示的“DNS 验证”方式哦。

注意，你的域名在哪个 DNS 平台（也就是在哪个平台里修改 DNS 解析记录的）就选择哪个！

就是宝塔面板支持的 DSN 接口有点儿寒酸，如上图所示，只支持阿里云 DNS、DnsPod（就是腾讯云的 DNS）和 CloudFlare，好在我们大部分人的都能用，也算好似满足了大部分站长们的需求了。注意如上图所示，这些 DNS 接口都是需要我们配置的，也就是配置 DNS 接口的 API，一般就是提供账户 ID 和授权码之类的，平台不同叫法不同而已，阿里云 DNS 要提供 AccessKey 和 SecretKey，腾讯云 DnsPod 要提供 ID 和 Token，CloudFlare 要的是账号 Email 和 Global API Key，这些在对应的 DNS 平台后台都是可以申请到和提供的，唯一比较另类和容易出错的就是腾讯云 DnsPod 了，估计是多次改版升级的缘故吧，网上很多的教程都严重滞后，这就让很多新手站长们无法准确的获取到 ID 和 Token，不能使用 DnsPod 的 DNS 接口申请和管理 SSL 证书。明月今天就告诉大家腾讯云 DnsPod 如何正确的获取 ID 和 Token，让大家少走点儿弯路。

首先当你注册了腾讯云账号后就已经等同于在 DnsPod 有了账号的，这两个平台账号是互通的，而获取 DnsPod 的 ID 和 Token 就得到 DnsPod 上获取，而不是在腾讯云的 DNS 里找，DnsPod 的网址是：账号登录 - DNSPod-免费智能DNS解析服务商-电信_网通_教育网,智能DNS，去登录就是了，登录方式取决于你腾讯云的登录方式。登录后在下图所示的地方就可以创建和获取 DnsPod 的 ID 和 Token 了：

首次使用是要创建密钥的哦，注意不是旁边那个腾讯云 API 密钥哦，一定是 DNSPod Token 才能用来 DNS 验证申请 SSL 证书的。首次创建会验证你的身份的，一般用绑定的微信扫码即可。不建议大家去绑定 IP 的，否则后续会有很多意外麻烦的。

然后就可以在宝塔面板里申请 SSL 证书的时候选择 DnsPod 接口后，点击配置输入创建的 ID 和 Token，点击确定保存，在下面选择要申请 SSL 证书的主域名（就是不带 www 等前缀的）并勾选“自动组合泛域名”，点击最下面的“申请证书”，等待自动申请结束就获取到域名的泛解析 SSL 证书了。

上述过程不需要你人为干涉，会自动通过 DNS 的 API 给你的域名添加验证子域名以供 SSL 证书颁发机构验证域名所有权，然后就是颁发回传 SSL 证书回来。并且只需要首次一次配置，后期宝塔面板会在计划任务里定期检测证书自动续期的，这就在宝塔面板里完成了 SSL 证书的自动化管理，自动申请续期、自动部署到对应域名网站上生效使用，只要你不删除宝塔面板里自动续期的计划任务就会一直自动下去。

当然，如果你会命令行，也完全可以借助宝塔面板的“终端”直接使用 acme.sh 脚本完成 SSL 证书的自动化管理，那会更加稳定、准确。今天明月给大家讲解这个主要是在图像操作界面下最优的 SSL 证书自动管理办法，最重要的还是免费！

至于你使用了第三方 CDN 需要绑定证书，可以手动在宝塔面板下载 SSL 证书上传到 CDN 上使用就是了，这一步如果也想自动化，那就需要你选择合适的 CDN 服务商了，国内能实现这个免费 CDN 服务商凤毛麟角了，反正明月没有见过，不能说没有，只是很少或者说适合自己的很少。好在明月已经 DNS 接入 CloudFlare 了，这些都可以在 CloudFlare 上自动完成，明月是不存在这个需求的。