FIR项目在Ubuntu 22.04上配置HTTPS的完整指南

2025-07-07 11:15:05作者：柏廷章Berta

本文将详细介绍如何在Ubuntu 22.04系统上为FIR项目配置HTTPS安全连接，包括从HTTP到HTTPS的自动重定向设置。FIR是一个功能强大的安全事件响应平台，在生产环境中使用HTTPS加密连接是基本的安全要求。

准备工作

在开始配置HTTPS之前，您需要确保已经完成以下准备工作：

FIR项目已经按照官方生产环境指南在Ubuntu 22.04上安装完成
系统上已经安装了Nginx作为Web服务器
您已经生成了SSL证书（可以是自签名证书或来自可信CA的证书）

配置Nginx支持HTTPS

主要的配置工作集中在Nginx的站点配置文件上，通常位于/etc/nginx/sites-available/fir。以下是完整的配置步骤：

使用文本编辑器打开Nginx配置文件：
```
sudo nano /etc/nginx/sites-available/fir
```

修改或添加以下配置内容：

server {
    listen 80;
    server_name your_domain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name your_domain.com;

    ssl_certificate /path/to/your/certificate.crt;
    ssl_certificate_key /path/to/your/private.key;
    
    # 其他SSL相关配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256...';
    
    # 原有的FIR配置
    location / {
        include uwsgi_params;
        uwsgi_pass unix:/run/uwsgi/fir.sock;
    }
    
    # 静态文件配置
    location /static/ {
        alias /opt/FIR/static/;
    }
}

证书选择建议

在生产环境中，我们建议使用Let's Encrypt等可信CA颁发的证书，而不是自签名证书。自签名证书虽然可以加密通信，但会在浏览器中显示安全警告，影响用户体验。

如果您选择使用Let's Encrypt证书，可以使用Certbot工具自动获取和配置证书：

安装Certbot：

sudo apt install certbot python3-certbot-nginx

获取证书并自动配置Nginx：

sudo certbot --nginx -d your_domain.com

配置验证与重启服务

完成配置后，执行以下步骤：

测试Nginx配置是否正确：
```
sudo nginx -t
```
如果没有报错，重启Nginx服务使配置生效：
```
sudo systemctl restart nginx
```
同时确保uWSGI服务也正常运行：
```
sudo systemctl restart uwsgi
```

安全加固建议

除了基本的HTTPS配置外，我们还建议采取以下安全措施：

启用HTTP严格传输安全（HSTS）：在Nginx的SSL server块中添加：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

配置更安全的SSL参数：

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

定期更新SSL证书，特别是使用Let's Encrypt证书时（有效期为90天）

通过以上配置，您的FIR项目将能够通过安全的HTTPS协议提供服务，同时自动将所有HTTP请求重定向到HTTPS，确保数据传输的安全性。

FIR

Fast Incident Response

项目地址：https://gitcode.com/gh_mirrors/fi/FIR

登录后查看全文