HTTP_HOST=s3.szqz.cc
HTTPS=on
SERVER_PORT=443
HTTP_X_FORWARDED_PROTO=
HTTP_CF_VISITOR=
SCRIPT_NAME=/deploy-check.php
DIRNAME_SCRIPT=/
CALLBACK_WOULD_BE=https://s3.szqz.cc/udid-callback.php
OPENSSL_LOADED=yes
PROC_OPEN=yes
open_basedir=/www/wwwroot/s3.szqz.cc/:/tmp/
SITE_DIR=/www/wwwroot/s3.szqz.cc
PHP_RUN_USER=www
_private_is_dir=yes
_private_dir_readable=yes
_private_listing=.htaccess,fullchain.pem,privkey.key
_private_readable_fullchain_pem=yes;exists=yes;chmod=0755;bytes=6082
_private_readable_cert_pem=no;exists=no
_private_readable_privkey_pem=no;exists=no
_private_readable_privkey_key=yes;exists=yes;chmod=0755;bytes=1703
_private_readable_private_key=no;exists=no
_private_readable_key_pem=no;exists=no

若 _private_readable 全为 no：多为证书未上传、路径不在站点根目录，或属主不是 PHP 运行用户（宝塔常见 www）。
SSH 示例（路径按实际改）：chown -R www:www /www/wwwroot/s3.szqz.cc/_private && chmod 755 /www/wwwroot/s3.szqz.cc/_private && chmod 644 .../fullchain.pem && chmod 640 .../privkey.pem

若 CALLBACK_WOULD_BE 不是真实的 https 公网地址，请在 get-udid.mobileconfig.php 填写 $OVERRIDE_HOST / $OVERRIDE_BASE。
安装须用 Safari。微信/QQ 内置浏览器常会失败。
无效描述文件：多为未签名。把 SSL 的 fullchain.pem（或 cert.pem）+ 私钥（privkey.pem / private.key / key.pem）放到 _private/，并保证 PHP 用户可读；或设置 $PROFILE_SIGN_*。
部署后用 curl -sSI 看响应头应含 X-Panda-Profile-Signed: 1（已为 PKCS#7）。