終於搞定了Bitwarden的SSL憑證錯誤!自架密碼管理工具的HTTPS設定指南
身為一個習慣掌控數據的技術愛好者,我一直選擇自架Bitwarden密碼管理工具——畢竟密碼這類核心隱私數據,放在自己的伺服器上才最安心。之前用 http://server:1234 這類HTTP方式就能正常連接瀏覽器外掛,誰知最近外掛突然強制要求HTTPS加密連接,直接跳出SSL憑證錯誤,連登入入口都進不去了。 折騰了大半天,終於摸清楚從申請免費SSL憑證到匯入群暉(Synology)伺服器的完整流程,在這裡把詳細步驟整理出來,給有同樣困擾的朋友避坑。 核心目標:為自架Bitwarden配置有效SSL憑證 Bitwarden外掛強制HTTPS的核心原因在於數據傳輸安全——密碼在傳輸過程中若未加密,的確存在被攔截的風險。我們要做的,就是透過免費的Certbot工具申請Let’s Encrypt憑證,再將憑證檔匯入運行Bitwarden的群暉伺服器。 準備工作:你需要這些前提條件 詳細操作步驟:從申請憑證到匯入群暉 第一步:更新系統並安裝Certbot Certbot是Let’s Encrypt官方推薦的憑證申請工具,先確保Linux主機的套件清單為最新,再安裝它: 第二步:透過DNS驗證申請憑證 由於群暉伺服器可能未開放公網Web服務,選擇DNS驗證方式最穩妥——無需開放80/443連接埠,僅需在網域解析中新增一條TXT紀錄即可。執行以下指令: 指令參數說明: 第三步:設定DNS名稱伺服器與TXT紀錄(關鍵步驟) DNS配置是憑證申請與服務訪問的基礎,需先完成名稱伺服器設定,再配置驗證用的TXT紀錄,兩步缺一不可: 子步驟3.1:設定網域的名稱伺服器(Nameserver) 1. 登入網域服務商後台,找到「名稱伺服器」設定選項(不同平台名稱可能為「DNS伺服器」) 2. 若使用網域服務商預設DNS,可直接跳至TXT紀錄設定;若需自定義(如使用Cloudflare DNS),需填入對應的名稱伺服器位址(例如Cloudflare的 ns1.cloudflare.com 與 ns2.cloudflare.com) 3. 名稱伺服器變更後生效時間較長(通常24-48小時,視網域TTL設定而定),建議提前1-2天配置,可透過 nslookup -type=NS certbot.alexcheung.xyz 指令驗證是否生效 4. 注意:名稱伺服器需與後續設定TXT紀錄的平台一致,否則TXT紀錄無法被Certbot識別 子步驟3.2:新增DNS TXT紀錄完成驗證 執行上一步Certbot指令後,工具會暫停並提示你新增一條DNS TXT紀錄,內容類似如下: 操作重點: 第四步:匯出憑證檔並傳送至群暉伺服器 憑證申請成功後,預設儲存在 /etc/letsencrypt/live/[你的網域]/ 目錄中,核心檔案為 fullchain.pem(憑證鏈)與 privkey.pem(私鑰)。使用scp指令直接傳輸。 方式一:透過scp指令直接傳輸(推薦) 因憑證檔權限較高,先切換至root使用者,再透過scp指令傳送至我的桌面(假設我的桌面IP為192.168.38.203,管理員帳號為admin,目標資料夾為「Desktop」中的「SSL_folder」資料夾): 後續步驟:在群暉中匯入憑證並配置Bitwarden 憑證檔傳送至群暉後,需完成「匯入憑證」與「配置Bitwarden」兩個環節,確保HTTPS正常生效: 踩坑總結:群暉反向代理與SSL配置必注意細節 從發現SSL錯誤到反向代理配置完成,最花時間的是名稱伺服器生效與反向代理端口映射環節。群暉的反向代理功能雖然強大,但細節設定稍有疏漏就會導致訪問失敗,建議配置時逐項核對來源與目的地的協定、位址、端口是否匹配。希望這篇補充後的教程能幫大家一次搞定配置,讓自架Bitwarden既安全又易用~ 若在操作中遇到反向代理端口衝突、Bitwarden配置文件修改等問題,歡迎在評論區留言交流!
終於搞定了Bitwarden的SSL憑證錯誤!自架密碼管理工具的HTTPS設定指南 Read More »
