DeepChat保姆级教程：DeepChat服务TLS加密配置——为公网访问提供HTTPS安全通道

DeepChat保姆级教程：DeepChat服务TLS加密配置——为公网访问提供HTTPS安全通道

1. 为什么需要TLS加密

当我们将DeepChat服务部署到公网时，所有数据传输默认都是明文的。这意味着：

• 聊天内容可能被第三方截获
• 用户隐私面临泄露风险
• 服务可能遭受中间人攻击

TLS(传输层安全协议)加密可以：

• 加密所有通信内容
• 验证服务器身份
• 确保数据完整性
• 提升用户信任度

2. 准备工作

2.1 所需材料

• 已部署的DeepChat服务
• 服务器root权限
• 域名一个(假设为deepchat.example.com)
• SSL证书(我们将使用Let's Encrypt免费证书)

2.2 环境检查

首先确认服务器环境：

# 检查Nginx是否安装 nginx -v # 检查是否开放443端口 sudo ufw status

如果未安装Nginx，使用以下命令安装：

sudo apt update sudo apt install nginx -y

3. 获取SSL证书

3.1 安装Certbot

Certbot是Let's Encrypt的官方客户端：

sudo apt install certbot python3-certbot-nginx -y

3.2 申请证书

运行以下命令申请证书：

sudo certbot --nginx -d deepchat.example.com

按照提示操作：

1. 输入邮箱(用于安全通知)
2. 同意服务条款
3. 选择是否共享邮箱(可选)

成功后会显示：

Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/deepchat.example.com/fullchain.pem Key is saved at: /etc/letsencrypt/live/deepchat.example.com/privkey.pem

4. 配置Nginx反向代理

4.1 创建Nginx配置文件

新建配置文件/etc/nginx/sites-available/deepchat：

server { listen 443 ssl; server_name deepchat.example.com; ssl_certificate /etc/letsencrypt/live/deepchat.example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/deepchat.example.com/privkey.pem; location / { proxy_pass http://localhost:3000; # DeepChat默认端口 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection 'upgrade'; proxy_set_header Host $host; proxy_cache_bypass $http_upgrade; } } server { listen 80; server_name deepchat.example.com; return 301 https://$host$request_uri; }

4.2 启用配置

sudo ln -s /etc/nginx/sites-available/deepchat /etc/nginx/sites-enabled sudo nginx -t # 测试配置 sudo systemctl restart nginx

5. 验证HTTPS配置

访问https://deepchat.example.com，你应该能看到：

1. 浏览器地址栏显示安全锁标志
2. 可以正常使用DeepChat服务
3. 所有通信都已加密

使用openssl验证：

openssl s_client -connect deepchat.example.com:443 -servername deepchat.example.com | grep "Verify"

应该看到"Verify return code: 0 (ok)"。

6. 自动续期配置

Let's Encrypt证书有效期为90天，设置自动续期：

sudo crontab -e

添加以下内容：

0 12 * * * /usr/bin/certbot renew --quiet

这会在每天中午检查并续期即将过期的证书。

7. 常见问题解决

7.1 证书申请失败

可能原因：

• 域名解析未生效
• 80端口被占用
• 防火墙限制

解决方案：

# 检查域名解析 nslookup deepchat.example.com # 检查端口占用 sudo netstat -tulnp | grep :80 # 临时关闭防火墙 sudo ufw disable

7.2 HTTPS无法访问

检查步骤：

1. 确认443端口开放
2. 检查Nginx错误日志：sudo tail -f /var/log/nginx/error.log
3. 确认证书路径正确

7.3 混合内容警告

如果页面加载了HTTP资源，浏览器会显示"不安全"警告。解决方案：

• 确保所有资源使用HTTPS URL
• 在HTML中添加Content Security Policy头

8. 总结

通过本教程，我们完成了：

1. 使用Let's Encrypt获取免费SSL证书
2. 配置Nginx实现HTTPS反向代理
3. 设置HTTP到HTTPS的自动跳转
4. 配置证书自动续期
5. 解决常见问题

现在你的DeepChat服务已经具备：

• 端到端加密通信
• 可信的HTTPS连接
• 自动证书管理
• 安全的公网访问能力

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。