本文介绍在Python Flask本地开发服务器配置SSL证书的具体步骤,包括下载和上传证书文件,在Flask run配置证书文件和证书密钥,以及安装证书后结果的验证。
配置过程中如有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
适用范围
开始配置前,确保满足以下条件:
证书状态:已拥有由权威机构签发的 SSL 证书。若证书即将过期或已过期,请先续费SSL证书。
域名匹配:确保证书能够匹配所有需保护的域名。如需添加或修改,请参见追加和更换域名。
精确域名:仅对指定域名生效。
example.com仅对example.com生效。www.example.com仅对www.example.com生效。
通配符域名:仅对其一级子域名生效。
*.example.com对www.example.com、a.example.com等一级子域名生效。*.example.com对根域名example.com和多级子域名a.b.example.com不生效。
说明如需匹配多级子域名,绑定域名中需包含该域名(如
a.b.example.com),或包含相应的通配符域名(如*.b.example.com)。服务器权限:需要使用
root账户或一个具有sudo权限的账户。域名备案与解析:
ICP 备案:域名已完成工信部 ICP 备案(仅适用于中国内地服务器)。
域名解析:域名已通过 A 记录解析至服务器的公网 IP。
说明可访问网络诊断分析工具,输入域名,检查 DNS 服务商解析结果和备案检查项,确保满足要求。
环境依赖:服务器已安装Python和Flask。本文以Linux操作系统、Python 3.6和Flask 2.0.3为例进行介绍。
操作步骤
步骤一:准备SSL证书
步骤二:配置系统与网络环境
确保安全组和防火墙允许外部流量访问。
在服务器终端执行以下命令,检测443端口的开放情况:
RHEL/CentOS
command -v nc > /dev/null 2>&1 || sudo yum install -y nc # 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443如果输出
Ncat: Connected to <当前服务器公网 IP>:443,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。Debian/Ubuntu
command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat # 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443若输出
Connection to <当前服务器公网 IP> port [tcp/https] succeeded!或[<当前服务器公网 IP>] 443 (https) open,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。在安全组配置开放443端口。
重要若您的服务器部署在云平台,请确保其安全组已开放 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例,其他云平台请参考其官方文档。
进入云服务器ECS实例,单击目标实例名称进入实例详情页面,请参考添加安全组规则,在安全组中添加一条授权策略为允许、协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象为任何位置(0.0.0.0/0)的规则。
在防火墙中开放443端口。
执行以下命令,识别系统当前的防火墙服务类型:
if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then echo "firewalld" elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then echo "ufw" elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then echo "nftables" elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then echo "iptables" elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then echo "iptables" else echo "none" fi若输出为
none,则无需进一步操作。否则,请根据输出的类型(firewalld、ufw、nftables、iptables),执行以下命令开放 443 端口:firewalld
sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reloadufw
sudo ufw allow 443/tcpnftables
sudo nft add table inet filter 2>/dev/null sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/nulliptables
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT为避免 iptables 规则在系统重启后失效,请执行以下命令持久化 iptables 规则:
RHEL/CentOS
sudo yum install -y iptables-services sudo service iptables saveDebian/Ubuntu
sudo apt-get install -y iptables-persistent sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
步骤三:在Flask网站安装证书
执行以下命令,在Linux服务器的
/目录下创建一个用于存放证书的目录。mkdir /ssl #创建证书目录,命名为ssl。将证书文件和私钥文件上传到Linux服务器的证书目录(
/ssl)。说明您可以使用远程登录工具的本地文件上传功能来上传文件。例如PuTTY、Xshell或WinSCP等工具。如果您使用的是阿里云云服务器 ECS,关于上传文件的具体操作,请参见上传或下载文件。
打开Flask应用文件,参考以下示例代码配置证书。
以下是一段完整的Flask应用示例代码。您可以复制代码内容,并在修改证书路径后保存为test.py以进行测试运行。
# 引入 flask web 框架 from flask import Flask app = Flask(__name__) @app.route("/") def main(): return "<p>Hello, World!</p>" # 配置SSL证书 # HTTPS的默认访问端口443。 # 配置443端口和证书绝对路径。'/ssl/cert.pem'需替换为证书文件绝对路径。'/ssl/cert.key'需替换为证书私钥绝对路径。 context = (r'/ssl/cert.pem', r'/ssl/cert.key') app.run(host="0.0.0.0", port=443, ssl_context=context)进入test.py文件所在的目录,执行以下命令,重启flask服务。
# test.py 为本文示例,请替换为您实际保存的文件名称。 python test.py
步骤四:重启Flask应用验证SSL证书是否配置成功
请通过 HTTPS 访问您已绑定证书的域名(如
https://yourdomain.com,yourdomain.com需替换为实际域名)。若浏览器地址栏显示安全锁图标,说明证书已成功部署。如访问异常或未显示安全锁,请先清除浏览器缓存或使用无痕(隐私)模式重试。
Chrome 浏览器自 117 版本起,地址栏中的
已被新的
替代,需单击该图标后查看安全锁信息。
如仍有问题,请参考常见问题进行排查。
应用于生产环境
在生产环境部署时,遵循以下最佳实践可提升安全性、稳定性和可维护性:
使用非管理员权限用户运行:
为应用创建专用的、低权限的系统用户,切勿使用拥有管理员权限的账户运行应用。
说明建议使用网关层配置 SSL的方案,即将证书部署在负载均衡SLB或Nginx等反向代理上,由其终结 HTTPS 流量,再将解密后的 HTTP 流量转发到后端应用。
凭证外部化管理:
切勿将密码等敏感信息硬编码在代码或配置文件中。使用环境变量、Vault 或云服务商提供的密钥管理服务来注入凭证。
启用 HTTP 到 HTTPS 强制跳转:
确保所有通过 HTTP 访问的流量都被自动重定向到 HTTPS,防止中间人攻击。
配置现代 TLS 协议:
在服务器配置中禁用老旧且不安全的协议(如 SSLv3, TLSv1.0, TLSv1.1),仅启用 TLSv1.2 和 TLSv1.3。
证书监控与自动续期:
建议在证书部署完成后,为域名开启域名监控功能。阿里云将自动检测证书有效期,并在证书到期前发送提醒,帮助您及时续期,避免服务中断。具体操作请参见购买并开启公网域名监控。
常见问题
安装或更新证书后,证书未生效或 HTTPS 无法访问
常见原因如下:
域名未完成备案。请参见ICP备案流程。
服务器安全组或防火墙未开放 443 端口。请参见配置系统与网络环境。
证书的绑定域名未包含当前访问的域名。请参见域名匹配。
修改 Flask 应用文件配置后,未重启Flask服务。具体操作可参见停止并重启Flask服务。
证书文件未正确替换,或 Flask 配置未正确指定证书路径。请检查 Flask 应用文件的证书配置和所用证书文件是否为最新且有效。
域名已接入 CDN、SLB 或 WAF 等云产品,但未在相应产品中安装证书。请参阅流量经过多个云产品时证书的部署位置完成相关操作。
当前域名的 DNS 解析指向多台服务器,但证书仅在部分服务器上安装。需分别在每个服务器中安装证书。
如需进一步排查,请参考:根据浏览器错误提示解决证书部署问题 和 SSL证书部署故障自助排查指南。
如何更新(替换)Flask 中已安装的 SSL 证书
请先备份服务器上原有的证书文件(.pem 和 .key),然后登录数字证书管理服务控制台,下载新的证书文件,并上传到目标服务器覆盖原有文件(确保路径和文件名一致)。最后,重启Flask服务,使新证书生效。
启动Flask应用时报错 FileNotFoundError
此问题通常由文件路径错误导致。请检查 ssl_context 中提供的证书和私钥文件路径是否正确。路径应相对于运行 python app.py 命令的当前目录,或使用绝对路径。
浏览器提示 "ERR_SSL_PROTOCOL_ERROR" 或连接被重置
请检查以下几点:
证书文件与私钥文件是否匹配。
使用的证书文件是否是完整的证书链(通常是
.pem文件)。阿里云下载的证书文件已包含完整证书链。服务器的安全组或防火墙是否已正确放行HTTPS端口(本例中为
443)。