AdGuardHome HTTPS配置：加密管理界面

你还在通过明文HTTP管理AdGuardHome吗？管理员密码、设备列表、过滤规则可能被网络窃听。本文将分步实现HTTPS加密，保护管理界面安全，完成后你将获得：加密的Web控制台访问、自动证书更新方案、安全最佳实践指南。

为什么需要HTTPS加密

AdGuardHome作为网络级广告过滤DNS服务器，其管理界面包含敏感配置。使用HTTP传输时，攻击者可能截获管理员密码或篡改设置。通过HTTPS（Hypertext Transfer Protocol Secure，超文本传输安全协议）加密，可以防止数据被窃听或篡改。

AdGuardHome的TLS加密功能由internal/aghtls/aghtls.go模块实现，支持现代加密套件和证书管理。

准备工作

环境要求

• 已安装AdGuardHome（参考README.md）
• 拥有域名（如adguard.example.com）或本地IP证书
• 管理员权限

证书获取方式

方式	适用场景	难度
Let's Encrypt	公网可访问服务器	中等
自签名证书	家庭局域网	简单
企业CA证书	组织内部网络	复杂

配置步骤

1. 生成证书（自签名示例）

使用OpenSSL生成自签名证书（适用于家庭局域网）：

openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -days 365 -nodes

将生成的server.crt和server.key保存到/etc/adguardhome/ssl/目录。

2. 修改配置文件

编辑AdGuardHome配置文件internal/next/AdGuardHome.example.yaml，添加HTTPS相关配置：

http:
  addresses:
    - '0.0.0.0:80'  # HTTP端口，用于重定向
  secure_addresses:
    - '0.0.0.0:443'  # HTTPS端口
  force_https: true  # 强制重定向到HTTPS
  tls:
    cert_file: '/etc/adguardhome/ssl/server.crt'
    key_file: '/etc/adguardhome/ssl/server.key'

3. 验证配置

重启AdGuardHome服务后，通过https://服务器IP访问管理界面。首次访问浏览器会提示证书不安全（自签名证书正常现象），添加信任后即可安全访问。

高级配置

证书自动更新

对于Let's Encrypt证书，可使用Certbot配合crontab自动更新：

certbot certonly --standalone -d adguard.example.com
echo "0 3 * * * certbot renew --deploy-hook 'systemctl restart AdGuardHome'" | crontab -

安全加固

AdGuardHome默认启用安全加密套件，定义在internal/aghtls/aghtls.go的SaferCipherSuites函数中，禁用了3DES和CBC等弱加密算法。

故障排除

常见问题

错误	原因	解决方案
无法启动	端口被占用	检查443端口占用情况 `netstat -tulpn
证书警告	自签名证书未信任	导入证书到系统信任库
配置不生效	配置文件路径错误	验证tls.cert_file和tls.key_file路径

查看日志

通过查询AdGuardHome日志定位问题：

tail -f /var/log/AdGuardHome.log

总结

通过HTTPS加密，AdGuardHome管理界面的数据传输得到有效保护。推荐公网环境使用Let's Encrypt证书，家庭用户可使用自签名证书。定期更新证书和AdGuardHome版本（参考CHANGELOG.md）能进一步提升安全性。

点赞收藏本文，关注项目更新，下期将介绍"AdGuardHome DNS-over-HTTPS配置"，让DNS查询也穿上安全外衣。