cv_resnet18_ocr-detection部署教程：HTTPS安全访问配置-开发者社区

cv_resnet18_ocr-detection部署教程：HTTPS安全访问配置

1. 背景与目标

随着OCR技术在文档数字化、自动化信息提取等场景中的广泛应用，模型服务的安全性也日益受到关注。当前cv_resnet18_ocr-detection项目默认通过HTTP协议提供WebUI服务，存在数据传输明文暴露的风险。为提升系统安全性，本文将详细介绍如何为该OCR检测服务配置HTTPS加密访问，确保图像和识别结果在传输过程中的机密性与完整性。

本教程基于Linux服务器环境（Ubuntu/CentOS），使用Nginx作为反向代理服务器，并通过OpenSSL自签名证书或Let’s Encrypt免费证书实现HTTPS加密。完成配置后，用户可通过https://your-domain:port安全访问OCR WebUI界面。

2. 环境准备

2.1 前置条件

已成功部署cv_resnet18_ocr-detection模型服务
服务运行于本地端口7860
服务器具备公网IP或已绑定域名
具备root或sudo权限
安装基础工具：nginx,openssl,certbot（可选）

2.2 安装依赖组件

# Ubuntu/Debian sudo apt update sudo apt install nginx openssl certbot -y # CentOS/RHEL sudo yum install epel-release -y sudo yum install nginx openssl certbot -y

启动并设置Nginx开机自启：

sudo systemctl start nginx sudo systemctl enable nginx

3. 配置Nginx反向代理

3.1 创建Nginx配置文件

编辑新的站点配置：

sudo nano /etc/nginx/sites-available/ocr-https

填入以下内容，将your-domain.com替换为实际域名或服务器IP：

server { listen 80; server_name your-domain.com; # 强制跳转至HTTPS return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; server_name your-domain.com; # SSL证书路径（后续生成） ssl_certificate /etc/ssl/certs/ocr-selfsigned.crt; ssl_certificate_key /etc/ssl/private/ocr-selfsigned.key; # 推荐的SSL安全参数 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512; ssl_prefer_server_ciphers off; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # 启用HSTS（可选） add_header Strict-Transport-Security "max-age=63072000" always; location / { proxy_pass http://127.0.0.1:7860; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; # 设置超时 proxy_connect_timeout 60s; proxy_send_timeout 120s; proxy_read_timeout 120s; } # 静态资源缓存优化（可选） location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ { expires 1d; add_header Cache-Control "public, no-transform"; } }

3.2 启用站点配置

sudo ln -s /etc/nginx/sites-available/ocr-https /etc/nginx/sites-enabled/ sudo rm -f /etc/nginx/sites-enabled/default # 移除默认站点

测试配置是否正确：

sudo nginx -t

若输出“syntax is ok”，则重启Nginx：

sudo systemctl reload nginx

4. 生成SSL证书

4.1 方案一：自签名证书（适用于测试环境）

生成私钥和证书：

sudo mkdir -p /etc/ssl/private sudo mkdir -p /etc/ssl/certs sudo openssl req -x509 -nodes -days 365 \ -keyout /etc/ssl/private/ocr-selfsigned.key \ -out /etc/ssl/certs/ocr-selfsigned.crt \ -subj "/C=CN/ST=Beijing/L=Beijing/O=TechCorp/CN=your-domain.com" \ -addext "subjectAltName=DNS:your-domain.com"

注意：浏览器会提示“不安全连接”，需手动信任证书方可访问。

4.2 方案二：Let’s Encrypt免费证书（推荐生产环境）

使用Certbot申请证书：

sudo certbot certonly --nginx -d your-domain.com

Certbot会自动更新Nginx配置并管理证书续期。建议设置自动续期：

sudo crontab -e

添加定时任务：

0 12 * * * /usr/bin/certbot renew --quiet

更新Nginx配置中证书路径为Let’s Encrypt生成的实际路径：

ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;

重新加载Nginx：

sudo systemctl reload nginx

5. 启动OCR服务并验证HTTPS

5.1 启动原始OCR服务

进入项目目录并启动服务：

cd /root/cv_resnet18_ocr-detection bash start_app.sh

此时服务仍监听http://0.0.0.0:7860，但外部访问将通过HTTPS代理。

5.2 验证HTTPS访问

打开浏览器，访问：

https://your-domain.com

首次访问时： - 若使用自签名证书：需点击“高级” → “继续前往网站” - 若使用Let’s Encrypt证书：显示绿色锁标志，表示连接安全

页面应正常加载OCR WebUI界面，且地址栏显示安全标识。

6. 安全加固建议

6.1 防火墙配置

仅开放必要端口：

# Ubuntu UFW sudo ufw allow 'Nginx Full' sudo ufw delete allow 'Nginx HTTP' # 关闭HTTP sudo ufw enable # 或使用iptables sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT sudo iptables -P INPUT DROP

6.2 配置HTTP到HTTPS强制跳转

已在Nginx配置中通过return 301实现80→443跳转，确保所有请求均加密传输。

6.3 定期备份与监控

备份证书文件：/etc/ssl/certs/和/etc/letsencrypt/
监控Nginx日志：/var/log/nginx/access.log和error.log
设置服务健康检查脚本，异常时自动重启

7. 常见问题排查

7.1 HTTPS无法访问

可能原因及解决方法：

防火墙未开放443端口
执行sudo ufw allow 443或检查云服务商安全组规则。
DNS解析未生效
使用ping your-domain.com确认域名指向正确IP。
证书路径错误
检查Nginx配置中ssl_certificate路径是否存在且权限正确。
OCSP Stapling失败（Let’s Encrypt）
确保服务器时间准确：timedatectl set-ntp true

7.2 页面加载缓慢或超时

检查后端服务是否响应正常：curl http://127.0.0.1:7860
调整Nginx代理超时时间（参考第3节配置）
减少大图上传，避免长时间推理阻塞

7.3 WebSocket连接失败

Gradio类WebUI常使用WebSocket进行实时通信。确保Nginx配置包含以下头部：

proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade";

否则可能导致“Connection refused”或“WebSocket disconnected”。

8. 总结

本文详细介绍了为cv_resnet18_ocr-detectionOCR文字检测服务配置HTTPS安全访问的完整流程。通过引入Nginx反向代理，结合自签名或Let’s Encrypt证书，实现了从HTTP到HTTPS的安全升级。主要成果包括：

通信加密：所有客户端与服务器之间的数据传输均经过TLS加密，防止敏感图像和文本内容被窃听。
身份验证：使用可信CA签发的证书可增强用户对服务真实性的信任。
兼容性保障：保留原有Gradio WebUI功能的同时，无缝集成HTTPS访问。
可扩展架构：Nginx代理模式便于后续扩展负载均衡、多服务路由等功能。

此外，文章提供了两种证书方案的选择建议：开发测试阶段可使用OpenSSL自签名快速验证；生产环境强烈推荐Let’s Encrypt免费证书以获得浏览器原生信任。

完成配置后，用户可通过安全链接稳定访问OCR服务，适用于企业内部文档处理、客户数据上传等对隐私要求较高的场景。

获取更多AI镜像
想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。

cv_resnet18_ocr-detection部署教程：HTTPS安全访问配置