注意

本教程由社区贡献，未获得 Open WebUI 团队支持。它仅作为一个如何根据您的特定用例定制 Open WebUI 的演示。想要贡献？查看贡献教程。

使用 Nginx 配置 HTTPS

确保您的用户与 Open WebUI 之间的安全通信至关重要。HTTPS（超文本传输安全协议）对传输的数据进行加密，保护其免受窃听和篡改。通过将 Nginx 配置为反向代理，您可以无缝地为 Open WebUI 部署添加 HTTPS，从而增强安全性和可信度。

本指南提供了三种设置 HTTPS 的方法：

自签名证书：适用于开发和内部使用，使用 Docker。
Let's Encrypt：适用于需要受信任 SSL 证书的生产环境，使用 Docker。
Windows + 自签名：简化用于 Windows 上的开发和内部使用，无需 Docker。

选择最适合您部署需求的方法。

Nginx 代理管理器
Let's Encrypt
自签名
Windows

Nginx代理管理器

Nginx代理管理器（NPM）允许您轻松管理反向代理，并通过Let's Encrypt提供的有效SSL证书保护您的本地应用程序，例如Open WebUI。此设置启用了HTTPS访问，这对于许多移动浏览器因其安全性要求而使用语音输入功能是必要的，同时不直接将应用程序的特定端口暴露到互联网上。

前置条件

一台运行Docker的家庭服务器和运行中的open-webui容器。
一个域名（例如免费的DuckDNS或付费的Namecheap/GoDaddy）。
基本的Docker和DNS配置知识。

步骤

为Nginx文件创建目录：
```
mkdir ~/nginx_config
cd ~/nginx_config
```
使用Docker设置Nginx代理管理器：
```
nano docker-compose.yml
```

services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '80:80'
      - '81:81'
      - '443:443'
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt

运行容器：

docker-compose up -d

配置DNS和域名：
- 登录到您的域名提供商（例如DuckDNS）并创建一个域名。
- 将域名指向您的代理的本地IP（例如：192.168.0.6）。
- 如果使用DuckDNS，从他们的仪表盘获取一个API令牌。

以下是一个简单的示例，展示了在https://www.duckdns.org/domains上的操作：

设置SSL证书：

通过http://server_ip:81访问Nginx代理管理器。例如：192.168.0.6:81
使用默认的凭据登录（admin@example.com / changeme）。按照提示更改它们。
转到SSL证书 → 添加SSL证书 → Let's Encrypt。
输入您的电子邮件和从DuckDNS获得的域名。一个域名包含星号，另一个不包含。例如：*.hello.duckdns.org和hello.duckdns.org。
选择使用DNS挑战，选择DuckDNS，并粘贴您的API令牌。例如： dns_duckdns_token=f4e2a1b9-c78d-e593-b0d7-67f2e1c9a5b8
同意Let's Encrypt条款并保存。如果需要，请调整传播时间**（120秒）**。

创建代理主机：

对于每个服务（例如openwebui、nextcloud），转到主机 → 代理主机 → 添加代理主机。
填写域名（例如：openwebui.hello.duckdns.org）。
将方案设置为HTTP（默认），启用Websockets支持并指向您的Docker IP（如果open-webui的Docker运行在与NGINX管理器相同的计算机上，这将是之前的相同IP，例如：192.168.0.6）。
选择之前生成的SSL证书，强制SSL，并启用HTTP/2。

添加您的URL到open-webui（否则会遇到HTTPS错误）：

转到您的open-webui → 管理面板 → 设置 → 通用
在Webhook URL文本字段中，输入您通过Nginx反向代理连接到open-webui的URL。例如：hello.duckdns.org（对于此例非必需）或openwebui.hello.duckdns.org（对于此例必需）。

访问WebUI：

通过HTTPS访问Open WebUI：hello.duckdns.org或openwebui.hello.duckdns.org（根据您的设置方式）。

防火墙注意事项：注意，本地防火墙软件（例如Portmaster）可能会阻止内部Docker网络流量或所需端口。如果发生问题，请检查防火墙规则以确保允许此设置所需的通信。

Let's Encrypt

Let's Encrypt 提供免费且被大多数浏览器信任的 SSL 证书，非常适合生产环境。

前置条件

Certbot 已安装在您的系统上。
DNS 记录已正确配置并指向您的服务器。

步骤

为 Nginx 文件创建目录：
```
mkdir -p conf.d ssl
```

创建 Nginx 配置文件：

conf.d/open-webui.conf:

server {
    listen 80;
    server_name your_domain_or_IP;

    location / {
        proxy_pass http://host.docker.internal:3000;

        # 添加 WebSocket 支持（适用于 0.5.0 及更高版本）
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # （可选）禁用代理缓冲以便更好地流式响应模型数据
        proxy_buffering off;

        # （可选）增加最大请求大小以支持大型附件和较长的语音消息
        client_max_body_size 20M;
        proxy_read_timeout 10m;
    }
}

简化的 Let's Encrypt 脚本：

enable_letsencrypt.sh:

#!/bin/bash

# 描述：简化的脚本，使用 Certbot 获取并安装 Let's Encrypt 的 SSL 证书。

DOMAIN="your_domain_or_IP"
EMAIL="your_email@example.com"

# 如果 Certbot 未安装，则安装
if ! command -v certbot &> /dev/null; then
    echo "未找到 Certbot。正在安装..."
    sudo apt-get update
    sudo apt-get install -y certbot python3-certbot-nginx
fi

# 获取 SSL 证书
sudo certbot --nginx -d "$DOMAIN" --non-interactive --agree-tos -m "$EMAIL"

# 重新加载 Nginx 以应用更改
sudo systemctl reload nginx

echo "Let's Encrypt 的 SSL 证书已安装，并且 Nginx 已重新加载。"

让脚本可执行：

chmod +x enable_letsencrypt.sh

更新 Docker Compose 配置：

在您的 docker-compose.yml 中添加 Nginx 服务：

services:
  nginx:
    image: nginx:alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./conf.d:/etc/nginx/conf.d
      - ./ssl:/etc/nginx/ssl
    depends_on:
      - open-webui

启动 Nginx 服务：
```
docker compose up -d nginx
```
运行 Let's Encrypt 脚本：

执行脚本以获取并安装 SSL 证书：
```
./enable_letsencrypt.sh
```

访问 WebUI

通过 HTTPS 访问 Open WebUI：

https://your_domain_or_IP

自签名证书

使用自签名证书适用于开发或内部使用，在这种情况下，信任不是一个关键问题。

步骤

创建用于存放 Nginx 文件的目录：
```
mkdir -p conf.d ssl
```

创建 Nginx 配置文件：

conf.d/open-webui.conf:

server {
    listen 443 ssl;
    server_name your_domain_or_IP;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    ssl_protocols TLSv1.2 TLSv1.3;

    location / {
        proxy_pass http://host.docker.internal:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # （可选）禁用代理缓冲区，改善模型流回应效果
        proxy_buffering off;

        # （可选）增加最大请求大小以支持较大的附件和较长的音频消息
        client_max_body_size 20M;
        proxy_read_timeout 10m;
    }
}

生成自签名 SSL 证书：

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout ssl/nginx.key \
-out ssl/nginx.crt \
-subj "/CN=your_domain_or_IP"

更新 Docker Compose 配置：

将 Nginx 服务添加到您的 docker-compose.yml 文件中：

services:
  nginx:
    image: nginx:alpine
    ports:
      - "443:443"
    volumes:
      - ./conf.d:/etc/nginx/conf.d
      - ./ssl:/etc/nginx/ssl
    depends_on:
      - open-webui

启动 Nginx 服务：
```
docker compose up -d nginx
```

访问 WebUI

通过 HTTPS 访问 Open WebUI，地址为：

https://your_domain_or_IP

在Windows上使用自签名证书和Nginx（不使用Docker）

对于基本的内部或开发安装，您可以使用nginx和自签名证书来将Open WebUI代理到https，从而在局域网内使用麦克风输入等功能。（默认情况下，大多数浏览器不会允许在不安全的非localhost URL上使用麦克风输入）

本指南假定您使用pip安装了Open WebUI，并正在运行open-webui serve

第一步：安装openssl以生成证书

您首先需要安装openssl。

您可以从Shining Light Productions (SLP)网站下载并安装预编译的二进制文件。

或者，如果您已经安装了Chocolatey，可以使用它快速安装OpenSSL：

打开命令提示符或PowerShell。
运行以下命令安装OpenSSL：
```
choco install openssl -y
```

验证安装

安装完成后，打开命令提示符并输入：

openssl version

如果显示OpenSSL版本（例如，OpenSSL 3.x.x ...），则表示安装成功。

第二步：安装nginx

从nginx.org下载官方Windows版Nginx，或使用像Chocolatey这样的包管理器下载。将下载的ZIP文件解压到一个目录（例如，C:\nginx）。

第三步：生成证书

运行以下命令：

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout nginx.key -out nginx.crt

将生成的nginx.key和nginx.crt文件移动到您选择的文件夹，或移动到C:\nginx目录。

第四步：配置nginx

使用文本编辑器打开C:\nginx\conf\nginx.conf。

如果您希望Open WebUI能够通过局域网访问，请使用ipconfig确定您的局域网IP地址，例如192.168.1.15。

按以下方式进行设置：

#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;

events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  120;

    #gzip  on;

    # 处理WebSocket（流式）所需的设置
    map $http_upgrade $connection_upgrade {
        default upgrade;
        ''      close;
    }

    # 将所有HTTP流量重定向到HTTPS
    server {
        listen 80;
        server_name 192.168.1.15;

        return 301 https://$host$request_uri;
    }

    # 处理HTTPS流量
    server {
        listen 443 ssl;
        server_name 192.168.1.15;

        # SSL 设置（确保路径正确）
        ssl_certificate C:\\nginx\\nginx.crt;
        ssl_certificate_key C:\\nginx\\nginx.key;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
        ssl_prefer_server_ciphers on;

        # OCSP Stapling
        #ssl_stapling on;
        #ssl_stapling_verify on;

        # 将流量代理到本地服务
        location / {
            # proxy_pass应指向您运行的localhost版本的open-webui
            proxy_pass http://localhost:8080;

            # 添加WebSocket支持（版本0.5.0及以上所需）
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $connection_upgrade;

            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;

            #（可选）禁用代理缓冲以增强模型的流式响应
            proxy_buffering off;

            #（可选）增加最大请求大小以支持较大的附件和长音频消息
            client_max_body_size 20M;
            proxy_read_timeout 10m;
        }
    }

}

保存文件，并通过运行nginx -t检查配置是否没有错误或语法问题。根据您的安装方式，您可能需要先运行cd C:\nginx。

运行nginx，通过运行nginx启动服务。如果已有nginx服务启动，可以运行nginx -s reload重新加载新的配置。

您现在应该能够通过https://192.168.1.15（或您的局域网IP地址）访问Open WebUI。请确保根据需要允许Windows防火墙访问。

下一步

设置 HTTPS 后，可通过以下地址安全访问 Open WebUI：

https://localhost

如果使用域名，请确保您的 DNS 记录已正确配置。对于生产环境，建议使用 Let's Encrypt 以获取受信任的 SSL 证书。

Nginx代理管理器​

前置条件​

步骤​

以下是一个简单的示例，展示了在https://www.duckdns.org/domains上的操作：​

访问WebUI：​

防火墙注意事项：注意，本地防火墙软件（例如Portmaster）可能会阻止内部Docker网络流量或所需端口。如果发生问题，请检查防火墙规则以确保允许此设置所需的通信。​

Let's Encrypt​

前置条件​

步骤​

访问 WebUI​

自签名证书​

步骤​

访问 WebUI​

在Windows上使用自签名证书和Nginx（不使用Docker）​

第一步：安装openssl以生成证书​

验证安装​

第二步：安装nginx​

第三步：生成证书​

第四步：配置nginx​

下一步​

Nginx代理管理器

前置条件

步骤

以下是一个简单的示例，展示了在https://www.duckdns.org/domains上的操作：

访问WebUI：

防火墙注意事项：注意，本地防火墙软件（例如Portmaster）可能会阻止内部Docker网络流量或所需端口。如果发生问题，请检查防火墙规则以确保允许此设置所需的通信。

Let's Encrypt

前置条件

步骤

访问 WebUI

自签名证书

步骤

访问 WebUI

在Windows上使用自签名证书和Nginx（不使用Docker）

第一步：安装openssl以生成证书

验证安装

第二步：安装nginx

第三步：生成证书

第四步：配置nginx

下一步