HTTPS 配置

概述

生产环境强烈建议使用 HTTPS。Glean 本身不处理 SSL，需要使用反向代理。

方式一：Caddy（推荐）

Caddy 自动获取和续期 Let’s Encrypt 证书，配置最简单。

安装 Caddy

# Ubuntu/Debian
sudo apt install caddy

# macOS
brew install caddy

配置 Caddyfile

创建 Caddyfile：

glean.yourdomain.com {
    reverse_proxy localhost:80
}

admin.yourdomain.com {
    reverse_proxy localhost:3001
}

启动 Caddy

caddy run --config Caddyfile

Caddy 会自动：

• 获取 SSL 证书
• 配置 HTTPS
• 自动续期证书

方式二：Nginx + Certbot

安装 Nginx 和 Certbot

# Ubuntu/Debian
sudo apt install nginx certbot python3-certbot-nginx

配置 Nginx

创建 /etc/nginx/sites-available/glean：

# Web 应用
server {
    listen 80;
    server_name glean.yourdomain.com;

    location / {
        proxy_pass http://localhost:80;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

# 管理后台
server {
    listen 80;
    server_name admin.yourdomain.com;

    location / {
        proxy_pass http://localhost:3001;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

启用站点

sudo ln -s /etc/nginx/sites-available/glean /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx

获取 SSL 证书

sudo certbot --nginx -d glean.yourdomain.com -d admin.yourdomain.com

Certbot 会自动：

• 获取证书
• 配置 Nginx
• 设置自动续期

更新 CORS 配置

配置 HTTPS 后，需要更新 CORS 设置：

# 编辑 .env 文件
CORS_ORIGINS='["https://glean.yourdomain.com", "https://admin.yourdomain.com"]'

重启后端服务：

docker compose restart backend

使用自签名证书

仅用于测试环境，不推荐生产使用。

生成证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /etc/ssl/private/glean.key \
  -out /etc/ssl/certs/glean.crt \
  -subj "/CN=glean.local"

Nginx 配置

server {
    listen 443 ssl;
    server_name glean.local;

    ssl_certificate /etc/ssl/certs/glean.crt;
    ssl_certificate_key /etc/ssl/private/glean.key;

    location / {
        proxy_pass http://localhost:80;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

安全最佳实践

SSL 配置优化

# 在 server 块中添加
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;

# HSTS
add_header Strict-Transport-Security "max-age=63072000" always;

强制 HTTPS 重定向

server {
    listen 80;
    server_name glean.yourdomain.com;
    return 301 https://$server_name$request_uri;
}

验证配置

检查 SSL 证书

# 使用 curl 验证
curl -v https://glean.yourdomain.com

# 使用 openssl 检查
openssl s_client -connect glean.yourdomain.com:443

在线检测

使用 SSL Labs 检测 SSL 配置评分。

常见问题

证书续期失败

# 手动续期
sudo certbot renew

# 检查续期状态
sudo certbot certificates

混合内容警告

确保所有资源都通过 HTTPS 加载，检查浏览器控制台是否有混合内容警告。

反向代理后获取真实 IP

确保 Nginx 配置正确传递了 X-Forwarded-For 和 X-Real-IP 头。

下一步

• 配置说明 - 环境变量配置
• 故障排查 - 常见问题解决