配置自定义 CA 证书库
warning
这篇教程是社区贡献的,不属于 Open WebUI 官方团队的支持范围。它仅作为如何针对您的特定用例自定义 Open WebUI 的演示。想要贡献?请查看贡献教程。
如果您在尝试运行 Open WebUI 时遇到 [SSL: CERTIFICATE_VERIFY_FAILED] 错误,通常是因为您所在的网络会拦截 HTTPS 流量(例如公司网络)。
要解决此问题,您需要将新证书添加到 Open WebUI 的信任库中。
对于预构建的 Docker 镜像:
- 通过在
docker run命令中添加--volume=/etc/ssl/certs/ca-certificates.crt:/etc/ssl/certs/ca-certificates.crt:ro选项,将宿主机的证书库挂载到容器中。 - 通过设置环境变量
REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt强制 Python 使用系统信任库(参见 Docker 运行文档)。
如果环境变量 REQUESTS_CA_BUNDLE 不起作用,请尝试根据 httpx 文档设置具有相同值的 SSL_CERT_FILE。
来自 @KizzyCode 的 compose.yaml 示例:
services:
openwebui:
image: ghcr.io/open-webui/open-webui:main
volumes:
- /var/containers/openwebui:/app/backend/data:rw
- /etc/containers/openwebui/compusrv.crt:/etc/ssl/certs/ca-certificates.crt:ro
- /etc/timezone:/etc/timezone:ro
- /etc/localtime:/etc/localtime:ro
environment:
- WEBUI_NAME=compusrv
- ENABLE_SIGNUP=False
- ENABLE_COMMUNITY_SHARING=False
- WEBUI_SESSION_COOKIE_SAME_SITE=strict
- WEBUI_SESSION_COOKIE_SECURE=True
- ENABLE_OLLAMA_API=False
- REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt
ro 标志将 CA 证书库挂载为只读,防止意外更改宿主机的 CA 证书库。
对于本地开发:
您也可以通过修改 Dockerfile 在构建过程中添加证书。例如,如果您想对 UI 进行更改,这会非常有用。
由于构建是多阶段进行的,您必须在两个阶段都添加证书:
- 前端(
build阶段):
COPY package.json package-lock.json <YourRootCert>.crt ./
ENV NODE_EXTRA_CA_CERTS=/app/<YourRootCert>.crt
RUN npm ci
- 后端(
basestage):
COPY <CorporateSSL.crt> /usr/local/share/ca-certificates/
RUN update-ca-certificates
ENV PIP_CERT=/etc/ssl/certs/ca-certificates.crt \
REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt