在CodeFever中配置Nginx域名及SSL证书的最佳实践

前言

CodeFever作为一款优秀的Git代码托管平台，在生产环境中通常需要通过域名访问并启用SSL加密来保障数据传输安全。本文将详细介绍如何为CodeFever配置Nginx反向代理及SSL证书，实现通过域名安全访问Git服务。

环境准备

在开始配置前，需要确保以下条件已满足：

1. 已正确安装并运行CodeFever服务（推荐使用官方Docker镜像部署）
2. 已安装Nginx并确保80和443端口可用
3. 已拥有有效的域名和SSL证书（可以是自签名证书或CA颁发的证书）

Nginx基础配置

基本反向代理配置

首先创建Nginx配置文件，通常位于/etc/nginx/conf.d/codefever.conf：

server {
    listen 80;
    server_name yourdomain.com;
    
    location / {
        proxy_pass http://localhost:8802;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

此配置将把所有HTTP请求转发到CodeFever服务运行的8802端口。

SSL证书配置

获取SSL证书

可以使用Let's Encrypt等免费CA获取证书，或使用企业级CA颁发的证书。证书通常包含：

• 证书文件（.crt或.pem）
• 私钥文件（.key）

启用HTTPS

修改Nginx配置以启用HTTPS：

server {
    listen 443 ssl;
    server_name yourdomain.com;
    
    ssl_certificate /path/to/your/certificate.crt;
    ssl_certificate_key /path/to/your/private.key;
    
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    
    location / {
        proxy_pass http://localhost:8802;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}

此配置实现了：

1. HTTPS加密访问
2. HTTP自动跳转HTTPS
3. 现代TLS协议和加密套件

Git协议配置

为了使Git操作（clone/pull/push）也通过HTTPS进行，需要在CodeFever配置中确保：

1. 在CodeFever管理后台设置正确的仓库URL前缀为HTTPS
2. 确保Nginx能够正确处理Git的智能HTTP协议

location ~ /git(/.*) {
    client_max_body_size 0;
    include fastcgi_params;
    fastcgi_param SCRIPT_FILENAME /usr/lib/git-core/git-http-backend;
    fastcgi_param GIT_HTTP_EXPORT_ALL "";
    fastcgi_param GIT_PROJECT_ROOT /path/to/git/repositories;
    fastcgi_param PATH_INFO $1;
    fastcgi_pass unix:/var/run/fcgiwrap.socket;
}

性能优化建议

1. 启用HTTP/2：在SSL配置中添加http2参数
2. 启用OCSP Stapling：减少SSL握手时间
3. 调整缓冲区大小：优化大文件传输性能
4. 启用Gzip压缩：减小传输数据量

server {
    listen 443 ssl http2;
    # ...其他配置...
    
    ssl_stapling on;
    ssl_stapling_verify on;
    
    gzip on;
    gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
    
    client_max_body_size 100M;
}

常见问题排查

1. 502 Bad Gateway：检查CodeFever服务是否正常运行，端口是否正确
2. SSL握手失败：检查证书链是否完整，TLS协议是否匹配
3. Git操作失败：检查仓库路径配置是否正确，权限是否足够
4. 大文件推送失败：调整client_max_body_size参数

安全建议

1. 定期更新SSL证书
2. 禁用不安全的TLS协议和加密套件
3. 配置适当的访问日志和错误日志监控
4. 考虑添加基础认证或IP白名单限制访问

结语

通过以上配置，您可以为CodeFever搭建一个安全、高效的Git代码托管环境。实际部署时，请根据您的具体环境和需求调整配置参数。定期检查Nginx和CodeFever的日志文件，可以及时发现并解决潜在问题。