🛃 使用自定义 CA 存储设置
warning
本教程是社区贡献,不受 Open WebUI 团队支持。它仅作为如何为您的特定用例自定义 Open WebUI 的演示。想要贡献?查看贡献教程。
如果您在尝试运行 OI 时遇到 [SSL: CERTIFICATE_VERIFY_FAILED] 错误,很可能是因为您处于拦截 HTTPS 流量的网络中(例如企业网络)。
要修复此问题,您需要将新证书添加到 OI 的信�任存储中。
对于预构建的 Docker 镜像:
- 通过将
--volume=/etc/ssl/certs/ca-certificates.crt:/etc/ssl/certs/ca-certificates.crt:ro作为命令行选项传递给docker run,将证书存储从主机挂载到容器中 - 通过设置
REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt强制 python 使用系统信任存储(参见 https://docs.docker.com/reference/cli/docker/container/run/#env)
如果环境变量 REQUESTS_CA_BUNDLE 不起作用,请尝试根据 httpx 文档 使用相同的值设置 SSL_CERT_FILE。
来自 @KizzyCode 的示例 compose.yaml:
services:
openwebui:
image: ghcr.io/open-webui/open-webui:main
volumes:
- /var/containers/openwebui:/app/backend/data:rw
- /etc/containers/openwebui/compusrv.crt:/etc/ssl/certs/ca-certificates.crt:ro
- /etc/timezone:/etc/timezone:ro
- /etc/localtime:/etc/localtime:ro
environment:
- WEBUI_NAME=compusrv
- ENABLE_SIGNUP=False
- ENABLE_COMMUNITY_SHARING=False
- WEBUI_SESSION_COOKIE_SAME_SITE=strict
- WEBUI_SESSION_COOKIE_SECURE=True
- ENABLE_OLLAMA_API=False
- REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt
ro 标志将 CA 存储挂载为只读并防止意外更改主机 CA 存储
对于本地开发:
您也可以通过修改 Dockerfile 在构建过程中添加证书。例如,如果您想对 UI 进行更改,这很有用。
由于构建分为多个阶段,您必须将证书添加到两个阶段中
- 前端(
build阶段):
COPY package.json package-lock.json <YourRootCert>.crt ./
ENV NODE_EXTRA_CA_CERTS=/app/<YourRootCert>.crt
RUN npm ci
- 后端(
base阶段):
COPY <CorporateSSL.crt> /usr/local/share/ca-certificates/
RUN update-ca-certificates
ENV PIP_CERT=/etc/ssl/certs/ca-certificates.crt \
REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt