OpenClaw 配置 Nginx 反向代理及 HTTPS 安全接入指南

OpenClaw 配置 Nginx 反向代理及 HTTPS 安全接入指南 | 极客日志

# CentOS/RHEL
sudo dnf install -y nginx certbot python3-certbot-nginx
# Ubuntu/Debian
sudo apt update && sudo apt install -y nginx certbot python3-certbot-nginx
# 启动 Nginx
sudo systemctl start nginx
sudo systemctl enable nginx

{"gateway":{"port":18789,"mode":"local","bind":"loopback","trustedProxies":["127.0.0.1"],"auth":{"mode":"trusted-proxy","trustedProxy":{"userHeader":"x-forwarded-user","requiredHeaders":["x-forwarded-proto","x-forwarded-host"]}},"controlUi":{"allowedOrigins":["https://your-domain.com"]}}}

参数	说明
`bind: "loopback"`	只监听本地地址，禁止外部直接访问
`trustedProxies`	信任的代理服务器 IP，此处为 Nginx
`mode: "trusted-proxy"`	启用信任代理认证模式
`userHeader`	Nginx 传递用户身份的 Header
`allowedOrigins`	允许的 Control UI 来源域名

openclaw gateway restart

# OpenClaw Nginx 配置
# HTTP 重定向到 HTTPS
server {
    listen 80;
    server_name your-domain.com;
    return 301 https://$host$request_uri;
}

# HTTPS 服务
server {
    listen 443 ssl http2;
    server_name your-domain.com;
    # SSL 证书路径（步骤四会自动配置）
    ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    
    # 安全响应头
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    
    # 日志配置
    access_log /var/log/nginx/openclaw-access.log;
    error_log /var/log/nginx/openclaw-error.log;
    
    location / {
        # WebSocket 支持（必需）
        proxy_pass http://127.0.0.1:18789;
        # 核心：这里清空认证头防止冲突
        proxy_set_header Authorization "";
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        
        # 转发用户身份（信任代理模式必需）
        proxy_set_header X-Forwarded-User $remote_user;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        
        # 超时设置（WebSocket 长连接）
        proxy_connect_timeout 60s;
        proxy_send_timeout 60s;
        proxy_read_timeout 86400s;
        proxy_buffering off;
    }
}

nginx -t
nginx -s reload

# 申请证书
sudo certbot --nginx -d your-domain.com
# 测试自动续期
sudo certbot renew --dry-run

# 创建账号密码（用户名：admin）
sudo sh -c 'echo "admin:$(openssl passwd -apr1 你的密码)" > /etc/nginx/.htpasswd'
# 添加更多用户
sudo sh -c 'echo "用户名:$(openssl passwd -apr1 密码)" >> /etc/nginx/.htpasswd'

server {
    listen 443 ssl http2;
    server_name your-domain.com;
    # 添加登录保护
    auth_basic "OpenClaw Login";
    auth_basic_user_file /etc/nginx/.htpasswd;
    location / {
        # ... 原有配置
    }
}

sudo nginx -t && sudo systemctl reload nginx

"allowedOrigins":["https://your-domain.com"]

proxy_set_header X-Forwarded-User $remote_user;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;

sudo certbot certificates
sudo certbot renew --dry-run

sudo certbot renew
sudo systemctl reload nginx

sudo tail -f /var/log/nginx/openclaw-access.log

sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload

OpenClaw 配置 Nginx 反向代理及 HTTPS 安全接入指南

OpenClaw 配置 Nginx 反向代理及 HTTPS 安全接入指南

前言

环境准备

步骤一：安装 Nginx 和 Certbot

步骤二：配置 OpenClaw 信任代理模式

步骤三：配置 Nginx 反向代理

步骤四：申请 SSL 证书

步骤五：添加登录保护（可选但强烈建议）

1. 创建密码文件

2. 启用 Basic Auth

验证部署

常见问题

1. "origin not allowed" 错误

2. WebSocket 连接失败 (1008 unauthorized)

3. 证书续期失败

安全建议

总结

更多推荐文章

相关免费在线工具

OpenClaw 配置 Nginx 反向代理及 HTTPS 安全接入指南

OpenClaw 配置 Nginx 反向代理及 HTTPS 安全接入指南

前言

环境准备

步骤一：安装 Nginx 和 Certbot

步骤二：配置 OpenClaw 信任代理模式

步骤三：配置 Nginx 反向代理

步骤四：申请 SSL 证书

步骤五：添加登录保护（可选但强烈建议）

1. 创建密码文件

2. 启用 Basic Auth

验证部署

常见问题

1. "origin not allowed" 错误

2. WebSocket 连接失败 (1008 unauthorized)

3. 证书续期失败

安全建议

总结

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具