宝塔面板+Cloudflare API全自动续签Let‘s Encrypt泛域名证书(含DNS验证避坑指南)

最新推荐文章于 2026-06-21 14:21:40 发布
原创 最新推荐文章于 2026-06-21 14:21:40 发布 · 1.1k 阅读 · 9
标签
#宝塔面板 #SSL证书 #Let's Encrypt #Cloudflare API

宝塔面板与Cloudflare API:构建坚不可摧的自动泛域名证书体系

在今天的网站运维实践中,HTTPS早已不是可选项,而是安全访问的基石。对于拥有多个子域名的项目来说,手动为每个域名申请和续期SSL证书不仅繁琐,还容易因疏忽导致服务中断。泛域名证书的出现,让这一切变得优雅而高效。然而,当我们将目光投向自动化续签时,会发现许多教程只停留在“能用”层面,对于实际生产环境中可能遇到的权限、冲突、多级子域等复杂场景,往往语焉不详。

这篇文章将带你深入探索如何在宝塔面板中,结合Cloudflare的DNS API,构建一套真正可靠、全自动的Let's Encrypt泛域名证书申请与续签系统。我会分享在实际部署中踩过的坑,以及如何通过精细化的配置和排查,确保你的证书体系坚如磐石。无论你是管理着十几个子域名的个人开发者,还是需要为大量客户站点提供HTTPS支持的运维人员,这套方案都能显著提升你的工作效率和系统稳定性。

1. 环境准备与核心原理剖析

在开始具体操作之前,我们需要先理解几个关键概念。Let's Encrypt的ACME协议通过验证你对域名的控制权来颁发证书。对于泛域名证书(如*.example.com),由于无法通过HTTP文件验证(因为*.example.com并不指向一个具体的Web服务器),所以必须使用DNS验证方式。这意味着ACME服务器会要求你在域名的DNS记录中添加一个特定的TXT记录,以此证明你拥有该域名的管理权限。

Cloudflare作为全球知名的DNS服务商,提供了完善的API接口,允许程序化地管理DNS记录。这正是实现自动化的关键——我们的脚本可以通过API自动添加和删除验证所需的TXT记录,无需人工干预。

宝塔面板在这个流程中扮演的角色

  • 提供了友好的Web界面来管理站点和SSL证书
  • 内置了acme.sh客户端,简化了证书申请流程
  • 通过计划任务功能实现定时续签检查
  • 自动将证书部署到Nginx/Apache配置中

但宝塔的自动化流程并非完美无缺。我遇到过不少情况,面板上的“一键申请”在简单场景下工作良好,但在复杂的多域名、多级子域场景下,或者当API权限配置不当时,就会出现各种难以排查的问题。这也是为什么我们需要深入底层,理解整个机制的工作原理。

1.1 必要的组件与权限检查

开始之前,请确保你的环境满足以下条件:

  1. 服务器环境

    • 已安装宝塔面板(建议7.0以上版本)
    • 服务器已开放80和443端口(用于初始验证和后续HTTPS服务)
    • 系统时间准确(证书申请对时间敏感)

  2. 域名与DNS配置

    • 拥有一个主域名(如example.com
    • 域名DNS已托管到Cloudflare
    • 主域名和*.example.com已解析到服务器IP

  3. Cloudflare账户权限

    • 账户对目标域名有完全管理权限
    • 能够创建API令牌

注意:如果你使用的是Cloudflare的免费套餐,API功能是完全可用的。但如果你启用了Cloudflare的代理(橙色云图标),在证书申请期间可能需要暂时关闭,因为Let's Encrypt的验证服务器需要直接访问你的源站IP。不过,使用DNS验证方式通常不受此影响。

为了验证你的Cloudflare账户是否具备必要的权限,可以尝试通过API获取域名的Zone ID。打开终端,执行以下命令(将YOUR_API_TOKENYOUR_EMAIL替换为实际值):

curl -X GET "https://api.cloudflare.com/client/v4/zones?name=example.com&status=active" \
  -H "Authorization: Bearer YOUR_API_TOKEN" \
  -H "Content-Type: application/json"

如果返回结果中包含你的域名信息,且"success": true,说明API令牌有效且权限足够。

1.2 理解证书的层级限制

这是很多人在实际部署中容易忽略的关键点。Let's Encrypt的泛域名证书只能覆盖一级子域名。这意味着:

  • *.example.com 证书可以保护:www.example.comapi.example.comblog.example.com
  • *.example.com 证书不能保护:dev.api.example.comtest.blog.example.com等二级子域名
  • 如果需要保护二级子域名,必须单独申请*.api.example.com证书

这个限制源于证书安全标准,并非Let's Encrypt或宝塔面板的缺陷。在实际规划你的域名结构时,需要提前考虑这一点。如果你的项目确实需要多级子域名,我有两个建议:

  1. 扁平化设计:尽可能使用一级子域名,如api-dev.example.com而非dev.api.example.com
  2. 分级申请:为每个需要二级子域名的部门或服务单独申请泛域名证书

下面的表格对比了不同场景下的证书策略:

域名模式 所需证书类型 申请方式 自动续签复杂度
www.example.com + example.com 单域名证书 简单,支持HTTP验证
*.example.com(覆盖所有一级子域) 泛域名证书 必须DNS验证 中等
api.example.com + dev.api.example.com 多域名证书(包含具体域名) 可DNS验证 中等
*.api.example.com(覆盖api下所有子域) 二级泛域名证书 必须DNS验证 中等,需单独申请

2. Cloudflare API令牌的精细化配置

大多数教程会告诉你使用Global API Key,但这实际上是一种过度授权的做法。从安全最佳实践出发,我们应该遵循最小权限原则,创建仅具备必要权限的API令牌。

2.1 创建最小权限的API令牌

登录Cloudflare控制台,按照以下步骤操作:

  1. 点击右上角头像,选择「我的个人资料」
  2. 切换到「API令牌」标签页
  3. 点击「创建令牌」
  4. 选择「编辑区域DNS」模板

在权限配置页面,你需要进行精细化设置:

  • 权限:区域 - DNS - 编辑
  • 资源:包括 - 特定区域 - 选择你的域名(如example.com

这样的令牌只能修改指定域名的DNS记录,即使令牌泄露,攻击者也无法访问你的账户其他信息或修改其他域名。

创建成功后,系统会显示令牌字符串。务必立即复制并保存,因为这是你唯一一次能看到完整令牌的机会。我习惯将令牌保存在服务器的环境变量中,而不是硬编码在脚本里:

# 编辑~/.bashrc或~/.profile文件
export CF_Token="你的API令牌"
export CF_Account_ID="你的账户ID"
export CF_Zone_ID="你的区域ID"

# 使环境变量生效
source ~/.bashrc

2.2 验证API令牌的有效性

创建令牌后,不要急于在宝塔面板中使用,先通过命令行验证其功能。创建一个测试脚本:

#!/bin/bash

# 测试DNS记录读取权限
curl -X GET "https://api.cloudflare.com/client/v4/zones/${CF_Zone_ID}/dns_records" \
  -H "Authorization: Bearer ${CF_Token}" \
  -H "Content-Type: application/json" | python -m json.tool

# 测试DNS记录添加权限(创建一个临时TXT记录)
curl -X POST "https://api.cloudflare.com/client/v4/zones/${CF_Zone_ID}/dns_records" \
  -H "Authorization: Bearer ${CF_Token}" \
  -H "Content-Type: application/json" \
  --data '{"type":"TXT","name":"_acme-challenge-test.example.com","content":"test_value","ttl":120}'

如果第一个命令成功返回DNS记录列表,第二个命令成功创建TXT记录,说明令牌工作正常。记得删除测试记录:

# 获取刚创建的记录ID
RECORD_ID=$(curl -s -X GET "https://api.cloudflare.com/client/v4/zones/${CF_Zone_ID}/dns_records?type=TXT&name=_acme-challenge-test.example.com" \
  -H "Authorization: Bearer ${CF_Token}" \
  -H "Content-Type: application/json" | python -c "import sys,json; data=json.load(sys.stdin); print(data['result'][0]['id'] if data['result'] else '')")

# 删除测试记录
if [ -n "$RECORD_ID" ]; then
  curl -X DELETE "https://api.cloudflare.com/client/v4/zones/${CF_Zone_ID}/dns_records/${RECORD_ID}" \
    -H "Authorization: Bearer ${CF_Token}" \
    -H "Content-Type: application/json"
fi

2.3 宝塔面板中的API配置

现在进入宝塔面板,开始配置DNS API:

  1. 打开「网站」页面,选择要申请证书的站点
  2. 点击「SSL」选项卡
  3. 选择「Let's Encrypt」
  4. 在域名选择界面,勾选「自动组合泛域名」
  5. 在DNS提供商处选择「Cloudflare」
  6. 点击「配置」按钮

这里需要填写三个关键信息:

  • 邮箱:你的Cloudflare账户邮箱
  • Global API Key:如果你坚持使用Global Key,可以在这里填写
  • API Token:更推荐使用我们创建的API令牌

重要提示:宝塔面板的某些版本在界面设计上可能没有明确的API令牌输入框。如果遇到这种情况,你可以尝试在Global API Key字段中直接填入API令牌。根据我的测试,大部分情况下这是可行的,因为Cloudflare的API v4兼容这种用法。

配置完成后,点击「申请」按钮。如果一切正常,你会看到申请进度条,最终显示成功。但根据我的经验,大约有30%的情况不会这么顺利。

最低0.47元/天 解锁文章
Wind6
关注
宝塔安装wordpress配置cloudflareSSL证书,上HTTPS确保网站安全
青峰客
08-24 4392
现在还不用HTTPS,谷歌浏览器就有提示,显示你的网站多LOW似得,现在我们就用cloudflareSSL证书,给自己的网站上一个安全的防火墙,高大上! 网站以HTTP形式访问时,数据传输是不加密的,在局域网传输中很容易被黑客嗅探到用户的信息。开启HTTPS加密传输能有效杜绝这一现象,而且国外的浏览器对于没有开启HTTPS访问的网站会提示不安全,所以独立站部署SSL非常有必要。 一. 宝塔面板SSL设置 宝塔面板可以一键申请SSL,非常方便!登录VPS服务器宝塔面板在线管理界面,在你的站点设置里
cloudflare免费证书_用cloudflare这套防护策略,防ddos及Cc攻击都很好
weixin_39890633的博客
12-03 1666
分享点防护经验,这几天又涨了技能了,不过,多亏一位网友的帮助。cloudflare这个Cdn防护真的是太强了,完全免费,胜过很多的主机服务商,说是全球数一数二的cdn商家一点儿也不夸张。最近我遇到的攻击,是我做网站十多年来遇到的最大的一次。从统计数据来看,ddos峰值达到了480G,cc攻击的时候并发量达到了280万,带宽消耗超过200M,预计对方手里控制了30-40万的肉鸡。早上的时候...
别再为Nginx配置发愁了:Certbot申请泛域名SSL证书后,一键部署到宝塔面板的完整流程
weixin_26934905的博客
05-02 336
本文详细介绍了如何使用Certbot申请泛域名SSL证书并一键部署到宝塔面板的完整流程。通过可视化操作,无需手动编辑Nginx配置,即可实现无限子域名的HTTPS保护,大幅提升管理效率和安全性。涵盖证书申请、DNS验证宝塔面板部署及自动化续期等关键步骤,是宝塔用户的终极解决方案。
acme实用技巧:基于宝塔面板cloudflare API
u010066597的博客
04-17 1960
此脚本仅适用于与验证 ,打引号的完美,大佬别见笑~所以,首先你的域名要解析在cloudflare,使用的是宝塔建站证书安装完成,后面可以自动更新了。acme.sh 一般有两种方式验证:http和dns验证此脚本使用的是dns验证,结合宝塔面板证书安装路径制作的获取方式:个人资料 – API令牌 – Global API Key注意要点:选择第4项:生成并安装证书 请输入即可,这里的域名实际是用来生成证书路径的,接着才是要输入生成证书的域名,可以多个,通配符,以空格隔开。
宝塔+cloudflare+Nginx防火墙网站报错520解决方法
qq_29701691的博客
10-12 3465
如果您在建站中使用宝塔面板cloudflareCDN,最后还使用了宝塔自带的nginx防火墙,那么网站就会报错520,无法打开。​其实是宝塔自带的防火墙拦截了cloudflare CDN节点,我们只需要把cloudflare CDN节点添加到白名单中即可。
Fail2Ban对接cloudflare防火墙技巧之宝塔面板
u010066597的博客
04-28 2143
Fail2Ban对接cloudflare一键脚本
Let's Encrypt 泛域名证书申请
ds19991999的博客
03-14 1636
github: https://github.com/Neilpang/acme.sh 通过acme申请Let’s Encrypt证书支持的域名DNS服务商有以下这些(国内用户较多的):cloudxns、dnspod、aliyun(阿里云)、cloudflare、linode、he、digitalocean、namesilo、aws、namecom、freedns、godaddy、yandex...
CentOS 7 下 Certbot standalone 模式申请 Let‘s Encrypt 证书指南
最新发布
weixin_33747129的博客
06-21 334
Let’s Encrypt 是当前主流的免费 SSL/TLS 证书颁发机构,其核心验证机制基于 ACME 协议,通过 HTTP-01 或 DNS-01 挑战确认域名控制权。standalone 模式作为 Certbot 提供的原生验证方式,不依赖 Nginx/Apache 等 Web 服务器配置,而是由 Certbot 自启轻量 HTTP 服务响应 `/.well-known/acme-challenge/` 请求,实现验证逻辑与业务服务的完全解耦。该模式在 CentOS 7 环境中尤为可靠——它天然规
cloudflare解析域名+CDN(以阿里云为例)+宝塔
miya的博客
11-02 8346
Cloudflare 是什么 以下内容引自百度百科: Cloudflare是一家美国的跨国科技企业,总部位于旧金山,在英国伦敦亦设有办事处。Cloudflare以向客户提供网站安全管理、性能优化及相关的技术支持为主要业务。通过基于反向代理的内容分发网络(CDN, Content Delivery Network)、任播(Anycast)技术[1]、基于nginx+lua架构的Web应用防火墙(WAF, Web Application Firewall)[2]及分布式域名解析服务(Distr...
使用宝塔面板CloudFlare 全流程部署 Komari 网络探针:从服务器环境准备到 反代HTTPS 证书配置的完整指南
CingSyuan的博客
11-26 829
本文详细介绍了如何通过宝塔面板(aaPanel)与 CloudFlare 配合,实现 Komari 网络探针服务的一键部署。内容涵盖服务器环境准备、Komari 安装步骤、宝塔面板安装与端口放行、反向代理配置、使用 DNS 验证方式申请 SSL 证书、域名 HTTPS 化处理,以及最终启用 CloudFlare CDN 的完整流程。文章提供了每个关键环节的图示示例,包括端口设置、DNS TXT/CAA 记录、SSL 证书申请和 CDN 开关,使用户能清晰地理解整个部署方法并顺利完成搭建。
cloudflare免费证书_怎么使用CloudFlare免费的CDN加速和网站防攻击功能
weixin_39718460的博客
11-23 747
CloudFlare名气之所以大,一是技术精湛,拥有强大的隐藏IP技术,能有效防御DDOS攻击、CC技术在世界上屈指可数,很多国外网站都使用它。不过要强调一点,cdn加速并不适用于所有的国外主机,如果用的好的VPS、云主机、服务器,那么访问速度跟国内主机差别不是很大,就是响应上慢些。但大多数的站长都是草根,使用的主机普遍配置一般,因此就可以使用CloudFlare的CDN进行免费加速。CloudF...
宝塔搭建Cloudreve
qq_45996046的博客
11-30 1712
使用宝塔面板加上开源的Cloudreve添加一个可私用也可共用的网盘,支持本机、从机、七牛、阿里云 OSS、腾讯云 COS、又拍云、OneDrive (包括世纪互联版) 作为存储端
网站使用CloudFlare SAAS 优选教程
热门推荐
qq_52940132的博客
03-02 1万+
CloudFlare SAAS,简单来说是为了给自助建站类似的网站,而提供的用户自定义域名接入的功能。比如您做一个系统,可以给用户开通分站等功能,您希望通过api的方式将您的用户自己的域名解析到CloudFlare当中,而不是直接解析到源站。考虑到本文章是为了让大家使用自选IP,因此在思路上将不会以上述分站的逻辑来解释说明。source.baota.free.hr是上一步创建的回退源地址,请改为您创建的域名。1.确保回退源已经生效,然后点击右上角的添加自定义主机名。
宝塔添加cloudflare的CDN出现520错误
cced1934的博客
03-06 3336
这里写自定义目录标题 在对新建站点进行了常规调整正常后,套上了cloudflare的CDN,出现了520错误,查看了官网的介绍及其他人的经验,初步判断还是宝塔本身的设定问题,主要集中在防火墙设置问题上,逐步进行了排查: 1、nginx免费防火墙是否开启了海外屏蔽:屏蔽未开。 2、cloudflare的IP段是否在白名单内:没列进去,在准备将cloudflare的IP段列入nginx的免费防火墙IP白名单内时,忽然发现新版的防火墙增加了CDN功能。由于不想输长长的IP段,就尝试把CDN功能打开,测试成功就有了
宝塔面板 SSL免费证书申请 / 续签失败?LiteSSL+DNS 验证终极解决方案(附阿里云配置)
qq_29600479的博客
02-06 1231
为什么选择这套组合?国内节点:LiteSSL 是国内免费 CA 服务商,无需访问境外网络,申请速度快、无超时问题;稳定性强:DNS 验证不依赖 80/443 端口、不涉及网站根目录和伪静态配置,开各类环境冲突;自动续签证书有效期 90 天,宝塔支持自动续签,无需手动操作;适配广:支持阿里云、腾讯云、Cloudflare 等主流 DNS 服务商,自动 / 手动验证均可。
宝塔面板部署配置https
weixin_65884699的博客
08-12 1010
宝塔面板部署配置https
宝塔最新版添加cloudflare521和520错误
https://ligo100.cn 小何博客欢迎访问。
03-08 5168
文章目录[隐藏] 添加 cloudflare521 和 520 错误错误前言添加 cloudflare521 和 520 错误最终解决办法如果你也同样是 cloudflare cdn 可以将以下添加到 IP 白名单中 添加 cloudflare521 和 520 错误错误前言 最近在腾讯云买了一款3 年 300 元的国内服务器 ,因为我域名在西部数码在域名解析后并在宝塔面板添加网站后,发现...
服务器借助Cloudflare实现内网穿透教程
gzy318的博客
07-19 2997
对服务器借助Cloudflare实现内网穿透作了一个生动的图文教程
【牙牙学语()】Ubuntu配置宝塔面板Cloudflare Tunnel、免费域名访问 完整搭建指南
m0_74197761的博客
02-23 1201
Ubantu安装可视化面板管理应用程序之宝塔面板,可以访问.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值