我最近在宝塔面板里,停用了 Let’s Encrypt 的 IP 证书。
不是它不能用,而是——感觉体验不太好。
事情是这样的。
之前看到 Let’s Encrypt 宣布支持 IP 地址申请证书,我就第一时间在宝塔里给自己的管理后台(直接用服务器 IP 访问)换上了。
还设置了自动续签任务,心想这下省事了。
而且也正常的用了一两周的,可以正常使用,之前没发现问题。
但问题很快来了,最近2天打开发现不对了,提示不安全。
这个 IP 证书的有效期,只有7天(不是常规的90天)。
虽然宝塔能自动续,但实际运行中,“续签成功”,浏览器却依然显示“不安全”,而去后台看SSL是有效的,正常的,没过期。
浏览器里面看,证书还是旧的、已过期的那张。
明明面板里显示新证书已生效,可浏览器里面不是新的。
有时清缓存有用,有时得手动重载服务,有时干脆等半天才生效。
这种“看似正常实则失效”的状态,特别让人比较困惑。
一、为什么 IP 证书这么短命?
查了文档才知道:
Let’s Encrypt 对 IP 证书做了严格限制。
仅限公网 IPv4
不支持私有 IP(如 192.168.x.x)
有效期仅7天
续签频率高,失败率也可能存在的
这是为了降低滥用风险。
但对我们这种只用 IP 访问宝塔面板的人来说,反而成了负担。
二、我的解决方案:换回自签证书
既然只是自己用面板,何必强求?
在服务器上重新生成了一个自签名 SSL 证书,有效期设为10年。
然后把根证书导入到我自己的电脑:
Windows:放进“受信任的根证书颁发机构”
做完之后,访问 https://你的IP:端口,浏览器直接显示安全锁。
没有警告,没有频繁续签,更不会半夜弹告警。
稳定,安静,十年不用管。
三、什么情况下适合用自签名?
记住一条原则:
只要服务不对外公开,只有你自己或少数人访问,就完全可以自签名。
典型场景包括:
宝塔面板、1Panel等管理后台
内网开发环境
临时测试站点
这些地方,不需要 CA 信任,只需要你自己的设备认就行。
手动信任一次,换来长期省心。
四、Let’s Encrypt 依然值得用
对于域名网站——博客、企业站、小程序后端——它依然是免费 HTTPS 的最佳选择,目前90天的SSL有效期。
但对于 IP 直连的内部服务,尤其是有效期只有7天的 IP 证书,个人反而不推荐。
最后
我暂时放弃 Let’s Encrypt 的 IP 证书,至少宝塔面板的访问暂时不用了,不是倒退,而是回归理性。
毕竟10年期的自签名SSL,自己用,一劳永逸。
自己的面板,自己说了算。
现在,打开宝塔,绿锁稳稳亮着。
这才是真正的“安全感”。
支付宝微信扫一扫,打赏作者吧~本文链接:https://kinber.cn/post/6163.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 
