我最近在宝塔面板里,停用了 Let’s Encrypt 的 IP 证书。
不是它不能用,而是感觉体验不太好。
事情是这样的。之前看到 Let’s Encrypt 宣布支持 IP 地址申请证书,我就第一时间在宝塔里给自己的管理后台(直接用服务器 IP 访问)换上了。
还设置了自动续签任务,心想这下省事了。而且也正常地用了一两周,之前没发现问题。
但问题很快来了,最近两天打开发现不对了,提示不安全。这个 IP 证书的有效期,只有7天(不是常规的90天)。虽然宝塔能自动续,但实际运行中,“续签成功”,浏览器却依然显示“不安全”。去后台看 SSL 是有效的、正常的、没过期的。
浏览器里面看,证书还是旧的、已过期的那张。明明面板里显示新证书已生效,可浏览器里不是新的。有时清缓存有用,有时得手动重载服务,有时干脆等半天才生效。这种“看似正常实则失效”的状态,特别让人困惑。
一、为什么 IP 证书这么短命?
查了文档才知道:Let’s Encrypt 对 IP 证书做了严格限制。这背后涉及一系列 网络协议 与安全策略的考量。
- 仅限公网 IPv4
- 不支持私有 IP(如 192.168.x.x)
- 有效期仅7天
- 续签频率高,失败率也可能存在
这是为了降低滥用风险。但对我们这种只用 IP 访问宝塔面板的人来说,反而成了一种负担,尤其对 运维 的稳定性提出了额外挑战。
二、我的解决方案:换回自签证书
既然只是自己用面板,何必强求?我决定回归更简单的方案。
在服务器上重新生成了一个自签名 SSL 证书,有效期设为10年。然后把根证书导入到我自己的电脑:
做完之后,访问 https://你的IP:端口,浏览器直接显示安全锁。没有警告,没有频繁续签,更不会半夜弹告警。稳定,安静,十年不用管。
三、什么情况下适合用自签名?
记住一条原则:
只要服务不对外公开,只有你自己或少数人访问,就完全可以自签名。
典型场景包括:
- 宝塔面板、1Panel等管理后台
- 内网开发环境
- 临时测试站点
这些地方,不需要 CA 信任,只需要你自己的设备认就行。手动信任一次,换来长期省心。
四、Let’s Encrypt 依然值得用
对于域名网站——博客、企业站、小程序后端——它依然是免费 HTTPS 的最佳选择,目前90天的SSL有效期。
但对于 IP 直连的内部服务,尤其是有效期只有7天的 IP 证书,个人反而不推荐。
最后
我暂时放弃 Let’s Encrypt 的 IP 证书,至少宝塔面板的访问暂时不用了。这不是倒退,而是回归理性。毕竟10年期的自签名 SSL,自己用,一劳永逸。
自己的面板,自己说了算。现在,打开宝塔,绿锁稳稳亮着。这才是真正的“安全感”。如果你也遇到类似的管理后台证书选择困惑,不妨来 云栈社区 和其他开发者一起交流讨论。 | 
发表于 4 小时前
|
查看: 1|
回复: 0
