海外云服务器 40个地区可选            亚太云服务器 香港 日本 韩国

云虚拟主机 个人和企业网站的理想选择            俄罗斯电商外贸虚拟主机 赠送SSL证书

美国云虚拟主机 助力出海企业低成本上云             WAF网站防火墙 为您的业务网站保驾护航

本文介绍了如何在OpenWrt系统上配置SSL证书，以实现安全的本地网络管理，通过生成或获取SSL证书，并在OpenWrt的Web界面（如LuCI）中进行配置，可启用HTTPS加密访问，保障管理通信的安全性，防止敏感信息泄露。

随着网络安全意识的不断增强,HTTPS 已成为现代网络服务的标配协议，即使是本地路由器的管理界面，也应启用 SSL/TLS 加密来保护用户的登录凭证与操作过程，OpenWrt 作为一个功能强大且高度可定制的嵌入式 Linux 系统，广泛应用于各类路由器设备中，它不仅支持丰富的网络功能，还允许用户安装和配置 SSL 证书，从而实现对 Web 管理界面（如 LuCI）的 HTTPS 加密访问。

为什么需要为 OpenWrt 配置 SSL 证书？

OpenWrt 默认提供的 LuCI 管理界面虽然支持 HTTPS 访问，但通常使用的是系统自签名的默认证书，这种证书虽然能够实现加密通信，但由于不是由受信任的证书颁发机构（CA）签发，浏览器在访问时会提示“证书不受信任”，不仅影响用户体验，还可能带来中间人攻击的风险。

为 OpenWrt 配置合法的 SSL 证书，可以带来以下几大优势：

• 增强安全性：防止用户名、密码等敏感信息通过明文传输被窃取。
• 避免浏览器警告：使用由可信 CA 颁发的证书，可以消除浏览器弹出的安全警告提示。
• 支持远程安全访问：若你希望通过外网访问路由器管理界面，HTTPS 是不可或缺的安全保障。

OpenWrt 的 HTTPS 服务架构

OpenWrt 使用 uHTTPd 作为其默认的轻量级 Web 服务器，负责提供 LuCI 界面的访问，uHTTPd 原生支持 HTTPS，只需配置好 SSL 证书，即可实现加密访问。

要启用 HTTPS，需完成以下步骤：

1. 生成私钥和证书请求（CSR）
2. 获取 SSL 证书（自签名或由 CA 颁发）
3. 将证书和私钥配置到 uHTTPd
4. 重启 uHTTPd 并测试 HTTPS 访问

生成私钥与证书请求（CSR）

我们需要在 OpenWrt 上生成私钥和证书请求文件，操作命令如下：

mkdir -p /etc/uhttpd.d/certs
cd /etc/uhttpd.d/certs
openssl genrsa -out router.key 2048
openssl req -new -key router.key -out router.csr

运行上述命令后,系统会提示你输入一些基本信息，包括国家、组织、城市、通用名称（Common Name）等。

• Common Name（CN）：建议填写你的路由器域名（如 router.example.com），若无域名，也可使用局域网 IP（如 168.1.1）。

获取 SSL 证书

自签名证书（适用于内网使用）

如果你仅在局域网内使用,可以选择生成自签名证书：

openssl x509 -req -days 365 -in router.csr -signkey router.key -out router.crt

该命令将生成一个有效期为一年的自签名证书,虽然浏览器仍会提示证书不受信任，但在内网环境中是完全可以接受的。

申请由 CA 签发的证书（适用于外网访问）

如果你希望通过外网访问路由器,并希望浏览器不报错，建议使用由可信 CA 颁发的证书，以下是一些推荐方式：

• Let’s Encrypt（推荐）：可通过 ACME 客户端自动申请，证书免费且受广泛信任。
• ZeroSSL、SSL For Free：提供图形界面，适合手动申请。

以 Let’s Encrypt 为例，使用 acme.sh 脚本在 OpenWrt 上自动申请证书：

opkg update
opkg install acme.sh
acme.sh --issue -d yourdomain.com --webroot /www

证书生成后,文件会保存在 /root/.acme.sh/yourdomain.com/ 目录中。

配置 uHTTPd 启用 HTTPS

编辑 uHTTPd 的配置文件：

vi /etc/config/uhttpd

找到或添加如下配置项：

config uhttpd 'main'
    option listen_http '0.0.0.0:80'
    option listen_https '0.0.0.0:443'
    option home '/www'
    option rfc1918_filter '1'
    option cert '/etc/uhttpd.d/certs/router.crt'
    option key '/etc/uhttpd.d/certs/router.key'

说明：

• listen_https：启用 HTTPS 监听端口（443）。
• cert 和 key：分别指向 SSL 证书和私钥文件的路径。

保存配置后,重启 uHTTPd 服务：

/etc/init.d/uhttpd restart

测试 HTTPS 访问

在浏览器中访问 https://你的路由器地址，即可打开加密的 LuCI 管理界面。

• 如果使用的是自签名证书,浏览器会提示“此连接不安全”，可以选择“继续访问”。
• 如果使用的是 Let’s Encrypt 或其他可信证书，浏览器将不会提示错误，显示绿色安全标识。

注意事项

为了确保 HTTPS 服务长期稳定运行，请注意以下事项：

1. 证书更新
   Let’s Encrypt 证书的有效期为 90 天，建议配置自动更新脚本，如使用 acme.sh --cron 定期更新。

2. 防火墙设置
   若需通过外网访问 HTTPS 管理界面，需在路由器防火墙中开放 443 端口。

3. 性能影响
   SSL 加密通信会略微增加 CPU 负载，但对于大多数现代路由器影响较小，不会造成明显性能下降。

4. 多域名支持
   如需支持多个域名，需生成 SAN（Subject Alternative Name）证书，或配置多个监听端口与证书。

通过在 OpenWrt 上正确配置 SSL 证书，不仅可以显著提升路由器管理界面的安全性，还能为远程访问、内网穿透、家庭服务器部署等提供更可靠的基础环境，无论是家庭用户还是企业网络管理员，都应重视 HTTPS 的应用与配置。

希望本文能够帮助你顺利完成 OpenWrt 上的 SSL 证书配置，享受更加安全、稳定的网络管理体验。

如需进一步优化（如自定义证书链、配置 HSTS、启用 OCSP Stapling 等），欢迎继续交流。