경고

이 튜토리얼은 커뮤니티 기여이며 Open WebUI 팀에서 지원하지 않습니다. 특정 용도에 맞게 Open WebUI를 커스터마이징하는 데 도움이 되는 데모로만 사용됩니다. 기여를 원하십니까? 기여 튜토리얼을 확인하세요.

Nginx를 사용한 HTTPS

사용자와 Open WebUI 간의 안전한 통신을 보장하는 것은 중요합니다. HTTPS(하이퍼텍스트 전송 프로토콜 보안)는 전송된 데이터를 암호화하여 도청 및 변조로부터 보호합니다. Nginx를 역방향 프록시로 구성하여 Open WebUI 배포에 HTTPS를 원활하게 추가하면 보안성과 신뢰성을 모두 향상시킬 수 있습니다.

이 안내서는 HTTPS를 설정하는 세 가지 방법을 제공합니다:

• 자체 서명 인증서: 개발 및 내부 사용에 적합하며 Docker를 사용합니다.
• Lets Encrypt: 신뢰할 수 있는 SSL 인증서가 필요한 프로덕션 환경에 적합하며 Docker를 사용합니다.
• Windows+자체 서명: Windows에서 개발 및 내부 사용을 위한 간단한 지침으로 Docker가 필요하지 않습니다.

배포 요구에 가장 적합한 방법을 선택하세요.

Nginx Proxy Manager

Nginx Proxy Manager

Nginx Proxy Manager (NPM)은 Open WebUI와 같은 로컬 애플리케이션을 유효한 Lets Encrypt SSL 인증서를 사용하여 보호하고 리버스 프록시를 쉽게 관리할 수 있도록 합니다. 이 설정은 응용 프로그램의 특정 포트를 직접 인터넷에 노출하지 않고도 HTTPS 액세스를 가능하게 하며, 많은 모바일 브라우저에서 보안 요구 사항으로 인해 음성 입력 기능을 사용하는 데 필요합니다.

사전 조건

• Docker 및 open-webui 컨테이너가 실행 중인 홈 서버.
• 도메인 이름 (DuckDNS와 같은 무료 옵션 또는 Namecheap/GoDaddy와 같은 유료 옵션).
• Docker 및 DNS 구성에 대한 기본 지식.

단계별 설정

1. Nginx 파일을 위한 디렉토리 만들기:

   mkdir ~/nginx_config
   cd ~/nginx_config

2. Docker를 사용하여 Nginx Proxy Manager 설정:

   nano docker-compose.yml

services:
  app:
    image: jc21/nginx-proxy-manager:latest
    restart: unless-stopped
    ports:
      - 80:80
      - 81:81
      - 443:443
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt

컨테이너 실행:

docker-compose up -d

3. DNS 및 도메인 구성:

   • 도메인 제공업체에 로그인하여 (예: DuckDNS) 도메인을 생성합니다.
   • 도메인을 프록시의 로컬 IP(예: 192.168.0.6)로 포인트합니다.
   • DuckDNS를 사용하는 경우 대시보드에서 API 토큰을 가져옵니다.

https://www.duckdns.org/domains 에서 설정 방법에 대한 간단한 예:

4. SSL 인증서 설정:

• Nginx Proxy Manager에 http://server_ip:81로 액세스합니다. 예: 192.168.0.6:81
• 기본 자격 증명([email protected] / changeme)으로 로그인합니다. 요구사항에 따라 변경합니다.
• SSL Certificates → Add SSL Certificate → Lets Encrypt로 이동합니다.
• DuckDNS에서 받은 이메일과 도메인 이름을 작성합니다. 도메인 이름 하나에는 별표가 포함되고 하나에는 포함되지 않습니다. 예: *.hello.duckdns.org 및 hello.duckdns.org.
• DNS challenge를 사용하고 DuckDNS를 선택한 후 API 토큰을 붙여넣습니다. 예: dns_duckdns_token=f4e2a1b9-c78d-e593-b0d7-67f2e1c9a5b8
• Let’s Encrypt 이용 약관에 동의하고 저장하십시오. 필요시 전파 시간 변경(120초).

5. 프록시 호스트 생성:

• 각 서비스(e.g., openwebui, nextcloud)에 대해 Hosts → Proxy Hosts → Add Proxy Host로 이동합니다.
• 도메인 이름 입력(e.g., openwebui.hello.duckdns.org).
• HTTP 스킴을 기본값으로 설정하고, Websockets support 활성화 후 Docker IP를 지정합니다(open-webui와 NGINX 관리자가 같은 컴퓨터에서 실행되는 경우, 이전과 동일한 IP 예시: 192.168.0.6).
• 이전에 생성된 SSL 인증서를 선택하고 SSL을 강제 활성화하며 HTTP/2를 활성화합니다.

6. open-webui에 URL 추가 (그렇지 않으면 HTTPS 오류 발생):

• open-webui → 관리 패널 → 설정 → 일반으로 이동합니다.
• Webhook URL 텍스트 필드에 Nginx 리버스 프록시를 통해 open-webui에 연결할 URL을 입력합니다. 예: hello.duckdns.org (필수 아님) 또는 openwebui.hello.duckdns.org (필수).

WebUI 액세스:

Open WebUI에 HTTPS를 통해 액세스 합니다: hello.duckdns.org 또는 openwebui.hello.duckdns.org (설정한 방식에 따라).

방화벽 참고: 로컬 방화벽 소프트웨어(예: Portmaster)가 내부 Docker 네트워크 트래픽 또는 필요한 포트를 차단할 수 있습니다. 문제가 발생하면 이 설정에 필요한 통신이 허용되는지 확인하기 위해 방화벽 규칙을 점검하십시오.

Lets Encrypt

Lets Encrypt

Lets Encrypt는 대부분의 브라우저에서 신뢰받는 무료 SSL 인증서를 제공하며, 프로덕션 환경에 적합합니다.

준비사항

• Certbot이 시스템에 설치되어 있어야 합니다.
• DNS 레코드가 서버를 올바르게 가리키도록 구성되어야 합니다.

단계

1. Nginx 파일을 위한 디렉토리 생성:

   mkdir -p conf.d ssl

2. Nginx 설정 파일 생성:

   conf.d/open-webui.conf:

   server {
       listen 80;
       server_name your_domain_or_IP;
   
       location / {
           proxy_pass http://host.docker.internal:3000;
   
           # WebSocket 지원 추가 (버전 0.5.0 이후 필수)
           proxy_http_version 1.1;
           proxy_set_header Upgrade $http_upgrade;
           proxy_set_header Connection "upgrade";
   
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header X-Forwarded-Proto $scheme;
   
           # (선택사항) 모델의 스트리밍 응답을 위해 프록시 버퍼링 비활성화
           proxy_buffering off;
   
           # (선택사항) 큰 첨부파일과 긴 오디오 메시지 처리 위한 최대 요청 크기 증가
           client_max_body_size 20M;
           proxy_read_timeout 10m;
       }
   }

3. 간소화된 Lets Encrypt 스크립트:

   enable_letsencrypt.sh:

   #!/bin/bash
   
   # 설명: Certbot을 사용하여 Lets Encrypt SSL 인증서를 가져오고 설치하는 간단한 스크립트.
   
   DOMAIN="your_domain_or_IP"
   EMAIL="[email protected]"
   
   # Certbot 설치 안된 경우 설치
   if ! command -v certbot &> /dev/null; then
       echo "Certbot을 찾을 수 없습니다. 설치 중..."
       sudo apt-get update
       sudo apt-get install -y certbot python3-certbot-nginx
   fi
   
   # SSL 인증서 가져오기
   sudo certbot --nginx -d "$DOMAIN" --non-interactive --agree-tos -m "$EMAIL"
   
   # 변경 사항 적용을 위해 Nginx 재시작
   sudo systemctl reload nginx
   
   echo "Lets Encrypt SSL 인증서가 설치되고 Nginx가 다시 로드되었습니다."

   스크립트에 실행 권한 부여:

   chmod +x enable_letsencrypt.sh

4. Docker Compose 구성 업데이트:

   docker-compose.yml 파일에 Nginx 서비스를 추가하세요:

   services:
     nginx:
       image: nginx:alpine
       ports:
         - "80:80"
         - "443:443"
       volumes:
         - ./conf.d:/etc/nginx/conf.d
         - ./ssl:/etc/nginx/ssl
       depends_on:
         - open-webui

5. Nginx 서비스 시작:

   docker compose up -d nginx

6. Lets Encrypt 스크립트 실행:

   인증서를 가져오고 설치하기 위해 스크립트를 실행하세요:

   ./enable_letsencrypt.sh

WebUI에 액세스

HTTPS를 통해 Open WebUI에 액세스하세요:

https://your_domain_or_IP

자체 서명

자체 서명 인증서

자체 서명 인증서는 신뢰가 중요한 문제가 되지 않는 개발 또는 내부 사용에 적합합니다.

단계

1. Nginx 파일을 위한 디렉토리 생성:

   mkdir -p conf.d ssl

2. Nginx 구성 파일 생성:

   conf.d/open-webui.conf:

   server {
       listen 443 ssl;
       server_name your_domain_or_IP;
   
       ssl_certificate /etc/nginx/ssl/nginx.crt;
       ssl_certificate_key /etc/nginx/ssl/nginx.key;
       ssl_protocols TLSv1.2 TLSv1.3;
   
       location / {
           proxy_pass http://host.docker.internal:3000;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header X-Forwarded-Proto $scheme;
   
           # (선택 사항) 모델의 스트리밍 응답을 향상시키기 위해 프록시 버퍼링 비활성화
           proxy_buffering off;
   
           # (선택 사항) 큰 첨부 파일 및 긴 오디오 메시지를 위한 최대 요청 크기 증가
           client_max_body_size 20M;
           proxy_read_timeout 10m;
       }
   }

3. 자체 서명 SSL 인증서 생성:

   openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
   -keyout ssl/nginx.key \
   -out ssl/nginx.crt \
   -subj "/CN=your_domain_or_IP"

4. Docker Compose 구성 업데이트:

   docker-compose.yml에 Nginx 서비스를 추가합니다:

   services:
     nginx:
       image: nginx:alpine
       ports:
         - "443:443"
       volumes:
         - ./conf.d:/etc/nginx/conf.d
         - ./ssl:/etc/nginx/ssl
       depends_on:
         - open-webui

5. Nginx 서비스 시작:

   docker compose up -d nginx

WebUI 액세스

HTTPS를 통해 Open WebUI에 액세스할 수 있습니다:

https://your_domain_or_IP

---

Windows

Windows에서 Docker 없이 자체 서명 인증서와 Nginx 사용하기

기본적인 내부/개발 설치의 경우, self-signed certificate와 nginx를 사용하여 Open WebUI를 HTTPS로 프록시할 수 있습니다. 이를 통해 LAN을 통해 마이크 입력과 같은 기능을 사용할 수 있습니다. (기본적으로 대부분의 브라우저는 안전하지 않은 non-localhost URL에서 마이크 입력을 허용하지 않습니다)

이 가이드는 pip으로 Open WebUI를 설치하고 open-webui serve를 실행하고 있다고 가정합니다

1단계: 인증서 생성을 위한 openssl 설치

먼저 openssl을 설치해야 합니다

Shining Light Productions (SLP) 웹사이트에서 미리 컴파일된 바이너리를 내려받아 설치할 수 있습니다.

또는 Chocolatey가 설치되어 있다면, 이를 사용해 빠르게 OpenSSL을 설치할 수 있습니다:

1. 명령 프롬프트 또는 PowerShell을 엽니다.
2. 다음 명령어를 실행하여 OpenSSL을 설치합니다:

   choco install openssl -y

---

설치 확인

설치 후, 명령 프롬프트를 열고 다음을 입력합니다:

openssl version

OpenSSL 3.x.x ... 과 같이 OpenSSL 버전을 표시한다면 설치가 완료된 것입니다.

2단계: nginx 설치

공식 Windows용 Nginx를 nginx.org에서 다운로드하거나 Chocolatey와 같은 패키지 관리자를 사용할 수 있습니다. 다운로드한 ZIP 파일을 디렉토리에 압축 해제합니다 (예: C:\nginx).

3단계: 인증서 생성

다음 명령어를 실행합니다:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout nginx.key -out nginx.crt

생성된 nginx.key 및 nginx.crt 파일을 선택한 폴더로 이동하거나 C:\nginx 디렉토리로 이동합니다.

4단계: nginx 구성

C:\nginx\conf\nginx.conf를 텍스트 편집기로 엽니다

Open WebUI가 로컬 LAN 상에서 접근 가능하게 설정하려면 ipconfig 를 사용하여 LAN IP 주소 (예: 192.168.1.15)를 확인하십시오.

다음과 같이 설정합니다:

#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;

events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  $remote_addr - $remote_user [$time_local] "$request" 
    #                  $status $body_bytes_sent "$http_referer" 
    #                  "$http_user_agent" "$http_x_forwarded_for";

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  120;

    #gzip  on;

    # WebSocket (스트리밍) 처리를 적절하게 하기 위해 필요
    map $http_upgrade $connection_upgrade {
        default upgrade;
              close;
    }

    # 모든 HTTP 트래픽을 HTTPS로 리디렉션
    server {
        listen 80;
        server_name 192.168.1.15;

        return 301 https://$host$request_uri;
    }

    # HTTPS 트래픽 처리
    server {
        listen 443 ssl;
        server_name 192.168.1.15;

        # SSL 설정 (경로가 올바른지 확인)
        ssl_certificate C:\\nginx\\nginx.crt;
        ssl_certificate_key C:\\nginx\\nginx.key;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
        ssl_prefer_server_ciphers on;

        # OCSP 스테이플링
        #ssl_stapling on;
        #ssl_stapling_verify on;

        # 로컬 서비스로의 프록시 설정
        location / {
            # proxy_pass는 실행 중인 localhost 버전의 open-webui를 가리켜야 합니다
            proxy_pass http://localhost:8080;

            # WebSocket 지원 추가 (0.5.0 이상 버전에서 필요)
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $connection_upgrade;

            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;

            # (선택 사항) 모델로부터 더 나은 스트리밍 응답을 위해 프록시 버퍼링 비활성화
            proxy_buffering off;

            # (선택 사항) 큰 첨부파일 및 긴 음성 메시지 처리를 위해 요청 크기 증가
            client_max_body_size 20M;
            proxy_read_timeout 10m;
        }
    }

}

파일을 저장하고 nginx -t 명령어를 실행하여 구성에 오류나 문법 문제가 없는지 확인합니다. 설치 방식에 따라 먼저 cd C:\nginx 명령어를 실행해야 할 수도 있습니다.

nginx 명령어를 실행하여 nginx를 실행합니다. 이미 nginx 서비스가 시작된 경우, nginx -s reload 명령어를 실행하여 새 구성을 다시 로드할 수 있습니다.

---

이제 https://192.168.1.15 (또는 적절한 로컬 LAN IP)에서 Open WebUI에 액세스할 수 있어야 합니다. 필요한 경우 Windows 방화벽 액세스를 허용하십시오.

다음 단계

HTTPS를 설정한 후 다음을 통해 Open WebUI에 안전하게 액세스하십시오:

• https://localhost

도메인 이름을 사용하는 경우 DNS 레코드가 올바르게 구성되어 있는지 확인하세요. 프로덕션 환경에서는 신뢰할 수 있는 SSL 인증서를 위해 Lets Encrypt를 사용하는 것이 좋습니다.

---