本教程係社群貢獻,並非由 Open WebUI 團隊提供支持。此教程僅作為如何根據具體使用場景自定義 Open WebUI 嘅操作示範。如果想參與貢獻,請查看相關貢獻教程。
使用 Nginx 配置 HTTPS
確保用戶同 Open WebUI 之間通訊嘅安全至關重要。HTTPS(超文本傳輸安全協議)會加密傳輸數據,從而保護數據免受窺探和篡改。通過配置 Nginx 作為反向代理,可以輕鬆為 Open WebUI 部署添加 HTTPS,從而提高安全性同可信度。
本指南提供三種設置 HTTPS 嘅方法:
- 自簽名憑證:適合開發及內部使用,使用 Docker。
- Lets Encrypt:適合需要可信 SSL 憑證嘅生產環境,使用 Docker。
- Windows+自簽名:針對 Windows 上開發及內部使用嘅簡化指引,唔需要 Docker。
根據需要選擇最適合你嘅部署方法。
- Nginx Proxy Manager
- Lets Encrypt
- 自簽名憑證
- Windows
Nginx Proxy Manager
Nginx Proxy Manager (NPM) 可讓您輕鬆管理反向代理,並透過 Lets Encrypt 為您的本地應用程序(例如 Open WebUI)安全加密生成有效的 SSL 證書。 此設置啟用 HTTPS 訪問,可滿足許多移動瀏覽器使用語音輸入功能的安全要求,同時不用直接將應用程序的特定端口暴露至互聯網。
前置條件
- 一台運行 Docker 的家庭服務器並且啟動 open-webui 容器。
- 一�個域名(免費選擇如 DuckDNS 或付費選擇如 Namecheap/GoDaddy)。
- 基本的 Docker 和 DNS 配置知識。
步驟
-
為 Nginx 文件創建目錄:
mkdir ~/nginx_config
cd ~/nginx_config -
使用 Docker 設置 Nginx Proxy Manager:
nano docker-compose.yml
services:
app:
image: jc21/nginx-proxy-manager:latest
restart: unless-stopped
ports:
- 80:80
- 81:81
- 443:443
volumes:
- ./data:/data
- ./letsencrypt:/etc/letsencrypt
啟動容器:
docker-compose up -d
-
配置 DNS 和域名:
- 登錄到您的域名提供商(例如 DuckDNS)並創建一個域名。
- 將域名指向您的代理的本地 IP(例如 192.168.0.6)。
- 如果使用 DuckDNS,從其控制台獲取 API token。
以下是如何在 https://www.duckdns.org/domains 執行簡單操作的示例:
- 設置 SSL 證書:
- 訪問 Nginx Proxy Manager 的網址 http://server_ip:81。例如:
192.168.0.6:81 - 使用默認憑據登錄([email protected] / changeme),按要求更改憑據。
- 前往 SSL Certificates → Add SSL Certificate → Lets Encrypt。
- 輸入您的電子郵件和來自 DuckDNS 的域名。一個域包含星號,另一個不包含。示例:
*.hello.duckdns.org和hello.duckdns.org。 - 選擇 Use a DNS challenge,選擇 DuckDNS,並粘貼您的 API token。例如:
dns_duckdns_token=f4e2a1b9-c78d-e593-b0d7-67f2e1c9a5b8 - 同意 Let’s Encrypt 規約並保存。如有需要更改傳播時間(如 120 秒)。
- 創建代理主機:
- 對於每個服務(例如 openwebui, nextcloud),前往 Hosts → Proxy Hosts → Add Proxy Host。
- 填寫域名(例如 openwebui.hello.duckdns.org)。
- �設置 scheme 為 HTTP(默認),啟用
Websockets support,並指向您的 Docker IP(如果 Docker 和 open-webui 運行在同一台計算機上,則為前面提到的 IP,例如192.168.0.6)。 - 選擇之前生成的 SSL 證書,強制 SSL,並啟用 HTTP/2。
- 將您的 URL 添加到 open-webui(否則會遇到 HTTPS 錯誤):
- 前往您的 open-webui → Admin Panel → Settings → General
- 在 Webhook URL 文本字段中,輸入您的 URL,通過 Nginx 反向代理連接到您的 open-webui。例如:
hello.duckdns.org(此非必要)或openwebui.hello.duckdns.org(此必需)。
訪問 WebUI:
通過 HTTPS 訪問 Open WebUI,地址為 hello.duckdns.org 或 openwebui.hello.duckdns.org(按照您的設置方式)。
防火牆注意:請注意,本地防火牆軟件(如 Portmaster)可能會阻止內部 Docker 網絡流量或必需端口。如果您遇到問題,請檢查防火牆規則以確保此設置所需的通信被允許。
Lets Encrypt
Lets Encrypt 提供免費的 SSL 憑證,大多數瀏覽器皆信任,非常適合用於生產環境。
先決條件
- Certbot 已安裝於您的系統中。
- DNS 記錄已正確配置為指向您的伺服器。
步驟
-
為 Nginx 文件創建目錄:
mkdir -p conf.d ssl -
創建 Nginx 配置文件:
conf.d/open-webui.conf:server {
listen 80;
server_name your_domain_or_IP;
location / {
proxy_pass http://host.docker.internal:3000;
# 添加 WebSocket 支援(適用於 0.5.0 及以上版本)
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# (可選)禁用代理緩衝以改善模型的串流響應
proxy_buffering off;
# (可選)增加最大請求大小以支援大型附件和長語音消息
client_max_body_size 20M;
proxy_read_timeout 10m;
}
} -
簡化 Lets Encrypt 腳本:
enable_letsencrypt.sh:#!/bin/bash
# 描述:使用 Certbot 獲取並安裝 Lets Encrypt SSL 憑證的簡化腳本。
DOMAIN="your_domain_or_IP"
EMAIL="[email protected]"
# 如果 Certbot 未安裝,則安裝它
if ! command -v certbot &> /dev/null; then
echo "未找到 Certbot。正在安裝..."
sudo apt-get update
sudo apt-get install -y certbot python3-certbot-nginx
fi
# 獲取 SSL 憑證
sudo certbot --nginx -d "$DOMAIN" --non-interactive --agree-tos -m "$EMAIL"
# 重新加載 Nginx 以應用更改
sudo systemctl reload nginx
echo "Lets Encrypt SSL 憑證已安裝且 Nginx 已重新加載。"使腳本可執行:
chmod +x enable_letsencrypt.sh -
更新 Docker Compose 配置:
向您的
docker-compose.yml中添加 Nginx 服務:services:
nginx:
image: nginx:alpine
ports:
- "80:80"
- "443:443"
volumes:
- ./conf.d:/etc/nginx/conf.d
- ./ssl:/etc/nginx/ssl
depends_on:
- open-webui -
啟動 Nginx 服務:
docker compose up -d nginx -
運行 Lets Encrypt 腳本:
執行腳本以獲取並安裝 SSL 憑證:
./enable_letsencrypt.sh
訪問 WebUI
通過 HTTPS 訪問 Open WebUI:
自簽證書
使用自簽證書適合於開發或內部使用,在此情況下信任不是關鍵問題。
操作步驟
-
建立 Nginx 文件目錄:
mkdir -p conf.d ssl -
建立 Nginx 配置文件:
conf.d/open-webui.conf:server {
listen 443 ssl;
server_name your_domain_or_IP;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_protocols TLSv1.2 TLSv1.3;
location / {
proxy_pass http://host.docker.internal:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# (可選)禁用代理緩衝以提高模型流式響應性能
proxy_buffering off;
# (可選)增加最大請求大小以支持較大的附件和較長的音頻消息
client_max_body_size 20M;
proxy_read_timeout 10m;
}
} -
生成自簽 SSL 證書:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout ssl/nginx.key \
-out ssl/nginx.crt \
-subj "/CN=your_domain_or_IP" -
更新 Docker Compose 配置:
在
docker-compose.yml添加 Nginx 服務:services:
nginx:
image: nginx:alpine
ports:
- "443:443"
volumes:
- ./conf.d:/etc/nginx/conf.d
- ./ssl:/etc/nginx/ssl
depends_on:
- open-webui -
啟動 Nginx 服務:
docker compose up -d nginx
訪問 WebUI
通過 HTTPS 訪問 Open WebUI:
使用自簽憑證及Nginx在Windows上運行(不使用Docker)
對於基本的內部/開發安裝,您可以使用nginx和自簽憑證對Open WebUI進行代理,從而支持https,允許使用像LAN中的麥克風輸入這樣的功能。(默認情況下,大多數瀏覽器不允許在不安全的非localhost URL上使用麥克風輸入)
本指南假設您使用pip安裝了Open WebUI並運行open-webui serve
第一步:安裝openssl以生成憑證
首先您需安裝openssl
您可以從Shining Light Productions (SLP)網站下載和安裝預編譯的二進制文件。
或者,若您已安裝Chocolatey,可以快速使用它來安裝OpenSSL:
- 打開命令提示符或PowerShell。
- 運行以下命令以安裝OpenSSL:
choco install openssl -y
驗證安裝
安裝完成後,打開命令提示符並輸入:
openssl version
若顯示OpenSSL版本(例如,OpenSSL 3.x.x ...),則表示安裝成功。
第二步:安裝nginx
從nginx.org下載官方的Windows版Nginx,或者使用像Chocolatey這樣的包管理工具。 將下載的ZIP文件解壓到某個目錄(例如C:\nginx)。
第三步:生成憑證
運行以下命令:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout nginx.key -out nginx.crt
將生成的nginx.key和nginx.crt文件移動到任意選定的文件夾或C:\nginx目錄。
第四步:配置nginx
用文本編輯器開啟C:\nginx\conf\nginx.conf
如需讓Open WebUI通過本地局域網訪問,請使用ipconfig查看您的局域網IP地址,例如192.168.1.15
設置如下:
#user nobody;
worker_processes 1;
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
#log_format main $remote_addr - $remote_user [$time_local] "$request"
# $status $body_bytes_sent "$http_referer"
# "$http_user_agent" "$http_x_forwarded_for";
#access_log logs/access.log main;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 120;
#gzip on;
# 用於正確處理websockets(流式)
map $http_upgrade $connection_upgrade {
default upgrade;
close;
}
# 重定向所有HTTP流量至HTTPS
server {
listen 80;
server_name 192.168.1.15;
return 301 https://$host$request_uri;
}
# 處理HTTPS流量
server {
listen 443 ssl;
server_name 192.168.1.15;
# SSL設置(確認路徑正確)
ssl_certificate C:\\nginx\\nginx.crt;
ssl_certificate_key C:\\nginx\\nginx.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
# OCSP Stapling
#ssl_stapling on;
#ssl_stapling_verify on;
# 將流量代理至您的本地服務
location / {
# proxy_pass應指向您正在本地運行的open-webui版本
proxy_pass http://localhost:8080;
# 增加WebSocket支持(自版本0.5.0起需要)
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
#(可選)禁用代理緩衝以更好地支持模型的流式響應
proxy_buffering off;
#(可選)增加最大請求大小以支持大型附件及長音頻消息
client_max_body_size 20M;
proxy_read_timeout 10m;
}
}
}
保存文件,並通過運行nginx -t檢查配置文件是否無錯誤或語法問題。根據您的安裝方式可能需要先運行cd C:\nginx。
通過運行nginx啟動nginx。如果已經有nginx服務運行,可通過運行nginx -s reload重新加載配置。
您現在應能通過https://192.168.1.15(或您的局域網IP)訪問Open WebUI。請根據需要允許Windows防火牆訪問。
下一步
設置好 HTTPS 之後,可以通過以下連結安全訪問 Open WebUI:
如果使用域名,請確保已正確配置 DNS 記錄。對於生產環境,建議使用 Lets Encrypt 獲取可信 SSL 憑證。