SSL证书冲突源于宝塔多站点共用443端口时证书错配主因是SNI依赖域名精确匹配而宝塔“就近复用”证书需检查配置路径、Subject/SAN一致性、域名绑定与SSL页签同步、acme.sh续签后路径更新及SNI客户端兼容性问题。SSL证书冲突时nginx 报错 SSL_CTX_use_certificate:ca md too weak 或 no matching server name这类错误不是证书本身坏了而是宝塔在多个站点共用同一端口443时把本该配给 site-a.com 的证书错塞给了 site-b.com。根本原因是Nginx 的 SNI 机制依赖域名精确匹配而宝塔的证书绑定逻辑会“就近复用”——只要某个站点启用了 SSL、且没显式指定证书它就可能被分配到别的站点的证书文件。检查 /www/server/panel/vhost/nginx/ 下每个站点配置文件确认 ssl_certificate 和 ssl_certificate_key 指向的路径是否真实存在、且属于当前域名别信面板里“已启用HTTPS”的绿勾——它只表示该站点配置了 SSL 段不保证证书内容正确用 openssl x509 -in /path/to/cert.pem -text -noout | grep Subject: 手动核对证书 Subject 是否含当前域名宝塔后台「域名绑定」列表和「SSL」页签不同步怎么办这是最常被忽略的冲突源头你删了某个子域名比如 api.example.com但它的 SSL 证书还在「SSL」页签里挂着或者新增了 www.example.com 却没去「SSL」页签里重新申请或绑定。进「网站」→ 点击站点 → 「域名管理」这里列的是 Nginx server_name 实际监听的域名必须和证书 SANSubject Alternative Name完全覆盖进「SSL」页签这里每个证书都有「绑定域名」按钮点进去看它实际绑定了哪些站点——一个证书可以绑多个站点但前提是这些站点的域名全在该证书的 SAN 列表里如果用了泛域名证书*.example.com注意它不匹配 example.com主域名需单独加进 SAN用 acme.sh 手动续签后宝塔仍用旧证书宝塔默认只认自己申请的证书路径/www/server/panel/vhost/cert/xxx/如果你用命令行工具更新了证书但没同步路径或没重载配置Nginx 还在读旧文件。 Tellers AI Tellers是一款自动视频编辑工具可以将文本、文章或故事转换为视频。