宝塔反代HomeAssistant并添加SSL笔记

2022-06-15 17:53:47 浏览数 (1)

前言

  • 从昨天2021-11-09下午,弄到现在2021-11-10的3点,终于弄好了。
  • 实现了HTTPS访问、隐藏端口号。

遇到的问题

在宝塔设置反向代理后直接访问报错:400: Bad Request

  • Home-Assistant使用反向代理要设置白名单,不然会拦截。

设置白名单后能正常访问,但无法登录,登录会弹出:Unable to connect to Home Assistant.

  • Home-Assistant要用到websocket,而宝塔默认的反代配置文件没有添加websocket支持。

找错误中一些巧合

  • 在查第一个400: Bad Request报错原因时,看到一个回答是说因为反代配置加了websocket支持才报错,删掉就不报错了。
  • 而这个和我第二个问题撞上了,很是巧合。
  • 如果当时看到那个回答反其道而行之加上去,说不定早就解决了。

正式笔记

宝塔方面操作

添加SSL支持
  • 设置里复制证书文件添加就行,略。
添加反代
  • 目标URL:https://[域名]:8123
  • 发送域名:[域名]
修改反代配置文件(添加websocket支持)

来源:群晖自带nginx反代hass方法 - 『HomeAssistant』综合讨论区 - 『瀚思彼岸』» 智能家居技术论坛 - Powered by Discuz! (hassbian.com)

  • 添加如下代码:
代码语言:javascript复制
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;
  • 这时添加前的:
代码语言:javascript复制
#PROXY-START/
location ~* .(gif|png|jpg|css|js|woff|woff2)$
{
proxy_pass https://hass.xxx.cn:8123;
    proxy_set_header Host hass.xxx.cn;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    expires 12h;
}
location /
{
    proxy_pass https://hass.xxx.cn:8123;
    proxy_set_header Host hass.xxx.cn;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    
    add_header X-Cache $upstream_cache_status;
    
    #Set Nginx Cache
    
    add_header Cache-Control no-cache;
}
​
#PROXY-END/
  • 这是添加后的:
代码语言:javascript复制
#PROXY-START/
location ~* .(gif|png|jpg|css|js|woff|woff2)$
{
proxy_pass https://hass.xxx.cn:8123;
    proxy_set_header Host hass.xxx.cn;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;
    expires 12h;
}
location /
{
    proxy_pass https://hass.xxx.cn:8123;
    proxy_set_header Host hass.xxx.cn;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;
    
    add_header X-Cache $upstream_cache_status;
    
    #Set Nginx Cache
    
    add_header Cache-Control no-cache;
}
​
#PROXY-END/

Home-Assistant方面的设置

获取反向代理源IP
  • 直接访问https://[域名]或者http://[域名]
  • 用ip或者http://[域名]:8123登录Home-Assistant
  • 进入配置>日志,查看日志。
  • 不出意外会有报错,大概如下:
代码语言:javascript复制
Received X-Forwarded-For header from an untrusted proxy 172.17.0.1
代码语言:javascript复制
A request from a reverse proxy was received from 172.17.0.1,but your HTTP integration is not set-up for reverse proxies
  • 记住这个IP,这里是172.17.0.1
添加SSL支持和反代白名单
  • .crt.key证书文件拷贝到config目录
  • 打开configuration.yaml,添加如下配置(视情况修改),然后重启服务:
代码语言:javascript复制
http:
  base_url: [域名]
  ssl_certificate: [.crt文件]
  ssl_key: [.key文件]
  use_x_forwarded_for: true
  trusted_proxies:
    - 1.14.147.22
    - 172.17.0.1
    - 127.0.0.1
    - ::1
  • 上面最下面那几个ip就是白名单列表,可以把公网IP和本地IP也写上去。
  • 白名单参考的是这个文章,不过没有用这个文章里的添加SSL证书的方法:为Home Assistant 开启HTTPS访问 - 天雨的博客 - Masterain (irain.in)
  • 添加SSL证书的方法用的是这个里面的:SSL Encryption with DuckDNS breaks hassio - Configuration - Home Assistant Community (home-assistant.io)

0 人点赞