OpenClaw 配置 Nginx 反向代理完整指南
OpenClaw 配置 Nginx 反向代理完整指南将 OpenClaw Gateway 安全地暴露到公网并通过 HTTPS 和登录保护确保访问安全。前言OpenClaw 是一个强大的 AI 助手网关默认情况下它只监听本地回环地址 (127.0.0.1:18789)。如果你想从外部网络访问 Control UI或者为团队提供安全的访问入口配置 Nginx 反向代理是最佳实践。本文将介绍如何✅ 配置 Nginx 反向代理到 OpenClaw✅ 启用 HTTPS (Let’s Encrypt SSL 证书)✅ 添加 Basic Auth 登录保护✅ 配置 OpenClaw 信任代理模式环境准备服务器: CentOS Stream 9 / Ubuntu 20.04 / Debian 10域名: 已解析到服务器 IP本文以www.zhonghongwei.site为例OpenClaw: 已安装并运行在本地模式端口: 80/443 未被占用步骤一安装 Nginx 和 Certbot# CentOS/RHELsudodnfinstall-ynginx certbot python3-certbot-nginx# Ubuntu/Debiansudoaptupdatesudoaptinstall-ynginx certbot python3-certbot-nginx# 启动 Nginxsudosystemctl start nginxsudosystemctlenablenginx步骤二配置 OpenClaw 信任代理模式编辑~/.openclaw/openclaw.json在gateway部分添加以下配置{gateway:{port:18789,mode:local,bind:loopback,trustedProxies:[127.0.0.1],auth:{mode:trusted-proxy,trustedProxy:{userHeader:x-forwarded-user,requiredHeaders:[x-forwarded-proto,x-forwarded-host]}},controlUi:{allowedOrigins:[https://www.zhonghongwei.site]}}}关键参数说明参数说明bind: loopback只监听本地地址禁止外部直接访问trustedProxies信任的代理服务器 IP此处为 Nginxmode: trusted-proxy启用信任代理认证模式userHeaderNginx 传递用户身份的 HeaderallowedOrigins允许的 Control UI 来源域名重启 OpenClaw Gatewayopenclaw gateway restart步骤三配置 Nginx 反向代理创建/etc/nginx/conf.d/openclaw.conf# OpenClaw Nginx 配置 # HTTP 重定向到 HTTPS server { listen 80; server_name www.zhonghongwei.site; return 301 https://$host$request_uri; } # HTTPS 服务 server { listen 443 ssl http2; server_name www.zhonghongwei.site; # SSL 证书路径步骤四会自动配置 ssl_certificate /etc/letsencrypt/live/www.zhonghongwei.site/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/www.zhonghongwei.site/privkey.pem; include /etc/letsencrypt/options-ssl-nginx.conf; ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # 安全响应头 add_header Strict-Transport-Security max-age31536000; includeSubDomains always; add_header X-Frame-Options SAMEORIGIN always; add_header X-Content-Type-Options nosniff always; add_header X-XSS-Protection 1; modeblock always; # 日志配置 access_log /var/log/nginx/openclaw-access.log; error_log /var/log/nginx/openclaw-error.log; location / { # WebSocket 支持必需 proxy_pass http://127.0.0.1:18789; # 核心这里清空认证头防止冲突 proxy_set_header Authorization ; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade; # 转发用户身份信任代理模式必需 proxy_set_header X-Forwarded-User $remote_user; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; # 超时设置WebSocket 长连接 proxy_connect_timeout 60s; proxy_send_timeout 60s; proxy_read_timeout 86400s; proxy_buffering off; } }测试并重载配置nginx-tnginx-sreload步骤四申请 SSL 证书使用 Let’s Encrypt 免费证书# 申请证书sudocertbot--nginx-dwww.zhonghongwei.site# 测试自动续期sudocertbot renew --dry-runCertbot 会自动生成 SSL 证书修改 Nginx 配置添加证书路径设置自动续期任务步骤五添加登录保护可选但强烈建议为了防止未授权访问建议添加 Basic Auth 登录。1. 创建密码文件# 创建账号密码用户名: adminsudosh-cecho admin:$(openssl passwd -apr1 你的密码) /etc/nginx/.htpasswd# 添加更多用户sudosh-cecho 用户名:$(openssl passwd -apr1 密码) /etc/nginx/.htpasswd2. 启用 Basic Auth在 Nginx 配置中添加两行server { listen 443 ssl http2; server_name www.zhonghongwei.site; # 添加登录保护 auth_basic OpenClaw Login; auth_basic_user_file /etc/nginx/.htpasswd; location / { # ... 原有配置 } }重载 Nginxsudonginx-tsudosystemctl reload nginx验证部署访问https://www.zhonghongwei.site你应该看到 浏览器显示安全锁SSL 生效 弹出登录框Basic Auth 登录后进入 OpenClaw Control UI常见问题1. “origin not allowed” 错误原因:allowedOrigins配置不匹配解决: 在openclaw.json中添加你的访问地址allowedOrigins:[https://www.zhonghongwei.site]2. WebSocket 连接失败 (1008 unauthorized)原因: 缺少必要的转发 Headers解决: 确保 Nginx 配置中包含proxy_set_header X-Forwarded-User $remote_user; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host;3. 证书续期失败检查:sudocertbot certificatessudocertbot renew --dry-run手动续期:sudocertbot renewsudosystemctl reload nginx安全建议防火墙设置: 只开放 80/443 端口禁止外部访问 18789sudofirewall-cmd--permanent--add-servicehttpssudofirewall-cmd--permanent--add-servicehttpsudofirewall-cmd--reload定期更换密码: 建议每 3-6 个月更换一次 Basic Auth 密码访问日志监控: 定期检查异常访问sudotail-f/var/log/nginx/openclaw-access.log限制访问来源: 如需更高安全性可在 Nginx 中添加 IP 白名单总结通过本文的配置你已经完成了✅ OpenClaw 信任代理模式配置✅ Nginx 反向代理 HTTPS✅ Let’s Encrypt SSL 证书✅ Basic Auth 登录保护现在你可以安全地从任何地方访问你的 OpenClaw Control UI 了相关链接:OpenClaw 官方文档Nginx 官方文档Let’s Encrypt配置文件备份:~/.openclaw/openclaw.json/etc/nginx/conf.d/openclaw.conf/etc/nginx/.htpasswd小技巧直接把这个博客内容发给openclaw让它帮你配置。

相关新闻

【MySQL】复合查询

【MySQL】复合查询

文章目录 1. 基本查询练习2. 多表查询3. 自连接4. 子查询 4.1 单行子查询4.2 多行子查询4.3 多列子查询4.4 在from子句中使用子查询 5. 合并查询 5.1 union5.2 union all 6. 表的内连7. 表的外连 7.1 左外连接7.2 右外连接 1. 基本查询练习 我们已有如下三张表: …

2026/7/4 13:17:41 阅读更多 →
永磁同步电机矢量控制双闭环PMSM控制模型:基于S函数与Matlab/Simulink的奇妙之旅

永磁同步电机矢量控制双闭环PMSM控制模型:基于S函数与Matlab/Simulink的奇妙之旅

采用s函数编写的永磁同步电机矢量控制双闭环PMSM控制模型,利用matlab/simulink搭建,可修改参数,增减负载均能恢复参考值正常运行。在电机控制领域,永磁同步电机(PMSM)凭借其高效、高功率密度等优点&#xf…

2026/5/17 10:25:00 阅读更多 →
布加替尼副作用:常见症状、应对策略与安全管理

布加替尼副作用:常见症状、应对策略与安全管理

靶向药物的治疗优势在于精准性和低毒性,但这并不意味着其完全没有不良反应。布加替尼作为新一代ALK-TKI,虽然整体安全性良好,不良反应多为轻度至中度,且可通过规范管理有效控制,但在临床应用中,仍有部分患者…

2026/7/3 14:01:21 阅读更多 →

最新新闻

编程启蒙|Scratch 转 Python 系列第 3 天完整教程

编程启蒙|Scratch 转 Python 系列第 3 天完整教程

本篇是零基础 Python 自学系列 Scratch 转 Python 第 3 天笔记,适合纯小白入门,内容包含实操代码、详细讲解与配套练习题,全程 Scratch 积木代码 Python 双向对照教学。 一、昨日内容复盘(Scratch 转 Python Day2 for 循环与 ra…

2026/7/5 13:36:11 阅读更多 →
玄鹿电竞:用技术重构游戏服务体验,驱动专业护航

玄鹿电竞:用技术重构游戏服务体验,驱动专业护航

在《三角洲行动》的战场中,你是否曾因“老六蹲撤”“摸金翻车”“任务卡关”而遗憾?玄鹿电竞以技术为引擎,打造全链路专业护航平台,从下单、匹配、服务到售后,用数字化架构重构游戏服务体验,让“稳撤满载”…

2026/7/5 13:34:10 阅读更多 →
18、<简单>寻找距离2的幂最近的数字

18、<简单>寻找距离2的幂最近的数字

#include <iostream> using namespace std;int main() {int n;cout << "请输入整数n&#xff1a;";cin >> n;// 先找到小于等于n的最大2的幂 lowint low 1;while (low * 2 < n){low * 2;}int high low * 2; // 大于n的最小2的幂int dis_low …

2026/7/5 13:32:10 阅读更多 →
抖店违规检测工具使用步骤:上架前 3 类素材(主图 / 标题 / 详情)风险筛查指南

抖店违规检测工具使用步骤:上架前 3 类素材(主图 / 标题 / 详情)风险筛查指南

全网通用电商商品违规检测最全教程&#xff1a;新手小白零门槛避坑指南很多电商创业新手、副业小白做店铺运营时&#xff0c;最容易踩的坑就是商品违规。不管是做抖音、抖音小店、微信小店、微信小商城、视频号小店、拼多多、小红书、淘宝等全平台电商&#xff0c;绝大多数新手…

2026/7/5 13:30:10 阅读更多 →
3分钟免费激活Windows系统:KMS_VL_ALL_AIO智能激活工具完全指南

3分钟免费激活Windows系统:KMS_VL_ALL_AIO智能激活工具完全指南

3分钟免费激活Windows系统&#xff1a;KMS_VL_ALL_AIO智能激活工具完全指南 【免费下载链接】KMS_VL_ALL_AIO Smart Activation Script 项目地址: https://gitcode.com/gh_mirrors/km/KMS_VL_ALL_AIO 还在为Windows系统激活而烦恼吗&#xff1f;每次开机看到那个烦人的激…

2026/7/5 13:30:10 阅读更多 →
奇迹 MU 剑与翼手游官网下载:奇迹 MU 剑与翼最新官方下载渠道

奇迹 MU 剑与翼手游官网下载:奇迹 MU 剑与翼最新官方下载渠道

奇迹 MU 剑与翼手游官网下载&#xff1a;奇迹 MU 剑与翼最新官方下载渠道 《奇迹 MU 剑与翼》又名复古 1.03H 奇迹正版、卓越打金奇迹手游&#xff0c;由安徽游昕联合忆往游戏正版运维复刻的经典魔幻 MMORPG。游戏完整还原原版奇迹端游 1.03H 全部内容&#xff0c;勇者大陆、仙…

2026/7/5 13:28:09 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools&#xff1a;5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱&#xff0c;支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里&#xff0c;参与了关于混合后量子密码学的讨论&#xff0c;应付端点攻击找茬的人&#xff0c;还参与留言板讨论后&#xff0c;发现“威胁模型”对多数人仍是陌生概念&#xff0c;且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”&#xff1a;我理解的渗透测试到底是什么&#xff1f;每次看到新闻里说某个大公司的数据被“黑”了&#xff0c;或者某个网站被攻击导致服务瘫痪&#xff0c;你是不是和我一样&#xff0c;心里会冒出两个念头&#xff1a;一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools&#xff1a;5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱&#xff0c;支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里&#xff0c;参与了关于混合后量子密码学的讨论&#xff0c;应付端点攻击找茬的人&#xff0c;还参与留言板讨论后&#xff0c;发现“威胁模型”对多数人仍是陌生概念&#xff0c;且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”&#xff1a;我理解的渗透测试到底是什么&#xff1f;每次看到新闻里说某个大公司的数据被“黑”了&#xff0c;或者某个网站被攻击导致服务瘫痪&#xff0c;你是不是和我一样&#xff0c;心里会冒出两个念头&#xff1a;一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻