Skip to content

配置 n8n 使用您自己的证书颁发机构或自签名证书#

您可以将自己的证书颁发机构 (CA) 或自签名证书添加到 n8n。这意味着您能够信任特定的 SSL 证书,而不是信任所有无效证书,这是一个潜在的安全风险。

在版本 1.42.0 中添加

此功能在版本 1.42.0 及以上版本中可用。

要使用此功能,您需要将证书放在文件夹中,并将文件夹挂载到容器中的 /opt/custom-certificates。您映射到 /opt/custom-certificates 的外部路径必须可由容器写入。

Docker#

下面的示例假设您有一个名为 pki 的文件夹,该文件夹包含您的证书,位于您运行命令的目录中或 docker compose 文件旁边。

Docker CLI#

使用 CLI 时,您可以从命令行使用 -v 标志:

1
2
3
4
5
docker run -it --rm \
 --name n8n \
 -p 5678:5678 \
 -v ./pki:/opt/custom-certificates \
 docker.n8n.io/n8nio/n8n

Docker Compose#

1
2
3
4
5
6
7
8
9
name: n8n
services:
    n8n:
        volumes:
            - ./pki:/opt/custom-certificates
        container_name: n8n
        ports:
            - 5678:5678
        image: docker.n8n.io/n8nio/n8n

您还应该为导入的证书设置正确的权限。您可以在容器运行后执行此操作(假设 n8n 为容器名称):

1
docker exec --user 0 n8n chown -R 1000:1000 /opt/custom-certificates

自定义信任存储的证书要求#

支持的证书类型:

  • 根 CA 证书:这些是证书颁发机构签署其他证书的证书。信任这些证书可以接受该 CA 签署的所有证书。
  • 自签名证书:服务器自己创建和签署的证书。信任这些证书仅可接受与该特定服务器的连接。

您必须使用 PEM 格式:

  • 基于文本的格式,具有 BEGIN/END 标记
  • 支持的文件扩展名:.pem.crt.cer
  • 包含公共证书(不需要私钥)

例如:

1
2
3
4
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/heBjcOuMA0GCSqGSIb3DQEBBQUAMEUxCzAJBgNV
[base64 encoded data]
-----END CERTIFICATE-----

系统不接受:

  • DER/二进制格式文件
  • PKCS#7 (.p7b) 文件
  • PKCS#12 (.pfx, .p12) 文件
  • 私钥文件
  • 使用前请将这些格式转换为 PEM。