在RAGFlow中配置自定义SSL证书的完整指南

前言

在现代Web应用部署中，SSL/TLS加密已成为保障数据传输安全的基本要求。本文将详细介绍如何在RAGFlow这一开源项目中配置自定义SSL证书，包括证书准备、Nginx配置以及常见问题解决方案。

准备工作

在开始配置前，需要准备以下三个证书文件：

1. 主证书文件（site.crt）
2. 私钥文件（site.key）
3. 证书链文件（site_chain.crt）

确保这些文件已由可信的证书颁发机构(CA)签发，或为有效的自签名证书。

Nginx配置详解

RAGFlow使用Nginx作为前端Web服务器，以下是完整的SSL配置示例：

server {
    listen 443 ssl;
    server_name your_domain.com;

    # SSL证书配置
    ssl_certificate /etc/nginx/ssl/site.crt;
    ssl_certificate_key /etc/nginx/ssl/site.key;
    ssl_trusted_certificate /etc/nginx/ssl/site_chain.crt;

    # 性能优化配置
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    # 静态资源服务
    root /ragflow/web/dist;
    
    # Gzip压缩配置
    gzip on;
    gzip_min_length 1k;
    gzip_comp_level 6;
    gzip_types text/plain text/css application/json application/javascript;
    
    # 代理配置
    location ~ ^/(v1|api) {
        proxy_pass http://localhost:9380;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }

    # 前端路由处理
    location / {
        try_files $uri $uri/ /index.html;
    }
}

Docker Compose集成

在docker-compose.yml中，需要将证书文件挂载到容器内：

services:
  ragflow:
    volumes:
      - ./nginx/conf.d/:/etc/nginx/conf.d/
      - ./ssl/site.crt:/etc/nginx/ssl/site.crt:ro
      - ./ssl/site.key:/etc/nginx/ssl/site.key:ro
      - ./ssl/site_chain.crt:/etc/nginx/ssl/site_chain.crt:ro

常见问题排查

证书链验证问题

如果浏览器显示证书不受信任，请检查：

1. 证书链文件是否完整
2. 中间证书是否包含在证书链中
3. 根证书是否受操作系统信任

混合内容问题

当网页部分资源仍通过HTTP加载时，可以添加以下响应头强制HTTPS：

add_header Content-Security-Policy "upgrade-insecure-requests";

嵌入网页功能异常

当使用"Embed into webpage"功能时，确保：

1. 嵌入的iframe地址使用HTTPS协议
2. 跨域资源共享(CORS)配置正确
3. 内容安全策略(CSP)不阻止iframe加载

性能优化建议

1. 启用OCSP Stapling减少证书验证时间
2. 使用Session Ticket减少TLS握手开销
3. 配置HTTP/2协议提升传输效率

结语

通过以上步骤，您已经成功在RAGFlow中配置了自定义SSL证书。定期检查证书有效期并设置自动续期，可以确保持续的安全访问。对于生产环境，建议使用Let's Encrypt等自动化证书管理工具简化维护工作。