fft npainting lama HTTPS加密访问：SSL证书部署实战-程序员充电站

fft npainting lama HTTPS加密访问：SSL证书部署实战

1. 引言：从HTTP到HTTPS的必要性

你有没有遇到过这样的情况？好不容易搭建好的图像修复系统，别人一访问就提示“不安全连接”，浏览器地址栏还挂着个大大的红色警告。这不仅影响专业形象，更可能让客户对系统的安全性产生怀疑。

这就是我们今天要解决的问题——为fft npainting lama图像修复系统启用HTTPS 加密访问。通过部署 SSL 证书，我们将原本明文传输的 HTTP 服务升级为全链路加密的 HTTPS，确保用户上传的图片、操作指令等数据在传输过程中不会被窃取或篡改。

本文将带你一步步完成 SSL 证书申请与 Nginx 反向代理配置，实现 WebUI 的安全访问。即使你是第一次接触 HTTPS 部署，也能轻松上手。

为什么选择 HTTPS？

数据加密：所有通信内容加密传输，防止中间人攻击
身份验证：浏览器可验证服务器身份，避免钓鱼风险
信任提升：绿色锁标志增强用户信任感
合规要求：部分企业内网或正式环境强制要求使用 HTTPS

2. 环境准备与前置条件

在开始之前，请确认你的服务器已满足以下条件：

2.1 基础环境检查

已成功部署fft npainting lamaWebUI（默认运行在http://0.0.0.0:7860）
拥有公网 IP 地址和可解析的域名（如：repair.yourdomain.com）
服务器开放了 80 和 443 端口
安装了 Nginx 或类似反向代理服务

🔍 提示：如果你还没有安装 Nginx，可以通过以下命令快速安装：
sudo apt update && sudo apt install nginx -y

2.2 域名解析设置

登录你的域名管理平台（如阿里云、腾讯云），添加一条 A 记录指向服务器公网 IP：

类型	主机记录	记录值
A	repair	你的公网IP

等待 DNS 生效后，即可通过repair.yourdomain.com访问服务。

2.3 项目路径确认

根据文档描述，项目位于：

/root/cv_fft_inpainting_lama

WebUI 启动脚本为：

bash start_app.sh

该服务默认监听 7860 端口，这是我们后续反向代理的目标地址。

3. 获取免费SSL证书（Let's Encrypt）

我们使用Certbot + Let's Encrypt来获取免费且受信任的 SSL 证书。

3.1 安装 Certbot

sudo apt install certbot python3-certbot-nginx -y

✅ 说明：python3-certbot-nginx插件支持自动配置 Nginx 并申请证书。

3.2 临时停止 Nginx（首次申请需要80端口）

sudo systemctl stop nginx

Let's Encrypt 会通过 HTTP 80 端口进行域名所有权验证，因此需短暂关闭 Nginx。

3.3 申请SSL证书

执行以下命令，替换repair.yourdomain.com为你自己的域名：

sudo certbot certonly --nginx -d repair.yourdomain.com

按提示填写邮箱并同意条款后，Certbot 会自动完成验证并颁发证书。

3.4 证书存储位置

成功后，证书文件将保存在：

/etc/letsencrypt/live/repair.yourdomain.com/ ├── fullchain.pem # 公钥证书 └── privkey.pem # 私钥

这些路径将在 Nginx 配置中引用。

4. 配置Nginx反向代理与HTTPS

现在我们将配置 Nginx，使其作为反向代理，将 HTTPS 请求转发给本地的 7860 服务。

4.1 创建Nginx配置文件

编辑新站点配置：

sudo nano /etc/nginx/sites-available/fft-inpainting

粘贴以下内容，请务必替换域名和服务器IP：

server { listen 80; server_name repair.yourdomain.com; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name repair.yourdomain.com; ssl_certificate /etc/letsencrypt/live/repair.yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/repair.yourdomain.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; # 启用HSTS（可选） add_header Strict-Transport-Security "max-age=31536000" always; location / { proxy_pass http://127.0.0.1:7860; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_read_timeout 300s; proxy_send_timeout 300s; } }

4.2 启用站点配置

sudo ln -s /etc/nginx/sites-available/fft-inpainting /etc/nginx/sites-enabled/

4.3 测试Nginx配置

sudo nginx -t

如果显示syntax is ok和test is successful，说明配置无误。

4.4 重启Nginx

sudo systemctl restart nginx

此时，Nginx 已经开始监听 443 端口，并将请求代理到本地 7860 服务。

5. 启动图像修复服务并测试HTTPS

5.1 启动WebUI服务

进入项目目录并启动应用：

cd /root/cv_fft_inpainting_lama bash start_app.sh

无需修改任何代码或绑定地址，保持默认即可。

5.2 浏览器访问测试

打开浏览器，访问：

https://repair.yourdomain.com

你应该看到：

地址栏出现绿色锁标志 🔒
页面正常加载fft npainting lama的 WebUI 界面
所有功能均可正常使用

🧪 小技巧：可以尝试上传一张带水印的图，用画笔涂抹后点击“开始修复”，验证功能是否完整。

6. 自动续期SSL证书

Let's Encrypt 证书有效期为 90 天，建议设置自动续期。

6.1 添加定时任务

sudo crontab -e

添加以下行：

0 3 * * 1 /usr/bin/certbot renew --quiet && systemctl reload nginx

这表示每周一凌晨 3 点自动检查并续期即将到期的证书，同时重载 Nginx 配置。

6.2 手动测试续期

sudo certbot renew --dry-run

若无报错，则自动续期机制已准备就绪。

7. 安全加固建议

虽然 HTTPS 已经提升了安全性，但还可以进一步优化。

7.1 关闭原始HTTP直接访问

修改start_app.sh脚本中的启动命令，限制只监听本地：

gradio app.py --host 127.0.0.1 --port 7860

这样外部无法直接访问http://IP:7860，必须通过 Nginx 代理。

7.2 防火墙规则（UFW）

启用防火墙，仅开放必要端口：

sudo ufw allow 22 # SSH sudo ufw allow 80 # HTTP（用于证书验证） sudo ufw allow 443 # HTTPS sudo ufw enable

7.3 日志监控

查看 Nginx 访问日志，及时发现异常请求：

sudo tail -f /var/log/nginx/access.log

8. 常见问题排查

8.1 证书申请失败：`Invalid response from /.well-known/acme-challenge/`

原因：80 端口未开放或被占用
解决方法：

检查云服务器安全组是否放行 80 端口
使用sudo netstat -tuln | grep :80查看端口占用
临时关闭 Nginx 或其他占用服务

8.2 页面能访问但功能异常（WebSocket错误）

现象：点击“开始修复”无反应，控制台报错WebSocket connection failed
原因：Nginx 未正确转发 WebSocket 连接
解决方案：确保 Nginx 配置中包含以下头部：

proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade";

8.3 HTTPS访问慢或超时

可能原因：

服务器性能不足（尤其是GPU推理延迟）
代理超时时间太短

调整建议：

proxy_read_timeout 300s; proxy_send_timeout 300s;

适当延长超时时间以适应图像处理耗时。

8.4 如何更换域名？

只需重新申请证书并更新 Nginx 配置中的server_name和证书路径即可：

sudo certbot certonly --nginx -d newdomain.com

然后修改/etc/nginx/sites-available/fft-inpainting中的相关字段。

9. 总结

通过本文的实战步骤，我们成功将fft npainting lama图像修复系统从 HTTP 升级为 HTTPS 安全访问。整个过程包括：

✅ 申请 Let's Encrypt 免费 SSL 证书
✅ 配置 Nginx 反向代理
✅ 实现自动续期与安全加固
✅ 解决常见部署问题

现在，无论是个人使用还是对外展示，你的图像修复系统都具备了专业的安全防护能力。用户可以在加密通道下安心上传敏感图片，进行水印去除、物体移除等操作，再也不用担心数据泄露风险。

更重要的是，这套方案完全适用于其他基于 Gradio 或 Flask 构建的 AI 应用，比如文生图、语音合成、视频生成等场景，具有很强的通用性和扩展性。

获取更多AI镜像
想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。

fft npainting lama HTTPS加密访问：SSL证书部署实战