在使用宝塔面板(BT Panel)为网站申请 Let's Encrypt 泛域名 SSL 证书时,我们通常需要使用 DNS 验证 方式。为了实现证书的自动申请和续签,宝塔需要调用云服务商(如阿里云)的 API 接口来自动添加和删除 DNS 记录。
很多教程直接让你填阿里云主账号的 AccessKey,这非常危险! 一旦面板沦陷,黑客就掌握了你阿里云账号的生杀大权。
本文将手把手教你:如何通过“最小权限原则”创建专用子账号,并在宝塔面板中正确配置,既能实现自动续签,又能保障账号安全。
准备工作:创建专用的“安全钥匙”
在打开宝塔面板之前,我们需要先去阿里云拿一把“只开一扇门”的钥匙(AccessKey),而不是把“万能钥匙”(主账号 Key)交出去。
1. 创建 RAM 用户
- 登录 阿里云 RAM 访问控制台。
- 左侧导航栏选择 “身份管理” > “用户”,点击 “创建用户”。
- 填写信息:
- 登录名称:填
bt-panel-dns(便于识别)。 - 访问方式:务必勾选 [OpenAPI 调用访问]。
- 点击确定后,立即复制保存
AccessKey ID和AccessKey Secret。(关掉窗口就看不到了!)
2. 授予最小必要权限
- 在用户列表找到刚才创建的
bt-panel-dns,点击右侧 “添加权限”。 - 搜索并选择系统策略:
AliyunDNSFullAccess(管理云解析 DNS 的权限)。
- 安全说明:此权限仅允许修改 DNS,无法操作服务器或查看财务信息。
3.点击确定保存。
实操步骤:在宝塔面板中配置
拿到安全的 Key 之后,我们回到宝塔面板进行配置。
1. 定位设置入口
- 登录宝塔面板,点击左侧导航栏的 【网站】 菜单。
- 找到需要配置 SSL 的网站,点击右侧的 【设置】。
- 在弹出的窗口左侧菜单中,点击 【SSL】 -> 选择 【Let's Encrypt】。
2. 选择验证方式
- 验证方式:务必选择 【DNS验证】。
- 注意:只有 DNS 验证才支持泛域名(如
*.example.com)。
2.自动组合泛域名:如果你需要申请泛域名证书,请勾选此项。
3. 配置 DNS 接口(关键步骤)
- 在 “选择DNS账号” 的下拉菜单中,寻找你的域名解析服务商(例如
Aliyun或DnsPod)。 - 如果是第一次设置,菜单里没有账号,请点击右侧的 【设置账号】 按钮。
- 此时会弹出 “添加DNS接口” 的窗口(即文章封面的截图):
- 验证类型:选择
阿里云DNS。 - AccessKey:填入我们在“准备工作”中获取的 RAM 用户
AccessKey ID。 - SecretKey:填入 RAM 用户的
AccessKey Secret。 - 备注:填写
阿里云DNS专用。
- 点击 【确定】 保存。
4. 申请证书
- 保存好账号后,在“选择DNS账号”下拉框中选中刚才添加的账号。
- 点击 【申请】(如果是已有证书则是【续签】)。
- 耐心等待几十秒,宝塔会自动通过 API 在阿里云后台添加一条 TXT 记录进行验证,验证通过后即可下发证书。
常见问题与注意事项
⚠️ 特别提示:不支持的域名服务商
如果你的域名是在 Namecheap、GoDaddy 等海外平台购买,且没有将 DNS 解析托管给 Cloudflare 或 DNSPod(即直接使用了注册商自带的 DNS):
你将无法在宝塔列表中找到对应的接口,也无法使用此方法实现自动续签泛域名证书。
解决方案:建议将域名的 DNS 服务器(Nameservers)修改为阿里云 DNS (万网) 或 Cloudflare,然后再使用上述方法。💡 关于安全性
如果以后不再使用宝塔管理此域名,或者感觉 Key 有泄露风险,只需去阿里云 RAM 控制台禁用或删除该 RAM 用户即可,无需更换服务器密码,真正做到“用完即走,安全无忧”。
版权属于:soarli
本文链接:https://blog.soarli.top/archives/773.html
转载时须注明出处及本声明。
