[GH-ISSUE #51] 关于非80端口下，Let's Encrypt功能的补充建议 #7150

New issue

Closed

opened 2026-03-12 19:13:49 +03:00 by kerem · 8 comments

kerem commented 2026-03-12 19:13:49 +03:00

Owner

Copy link

Originally created by @AC-0308 on GitHub (Dec 30, 2022).
Original GitHub issue: https://github.com/0xJacky/nginx-ui/issues/51

关于非80端口下，Let's Encrypt功能的补充建议

使用场景

1. 家用宽带-动态公网ip
2. 80、443端口被封
3. 使用DDNS服务，将动态公网ip更新到阿里DNS解析
4. 使用docker运行nginx-ui作内网服务的反向代理到公网

遇到问题

在80端口被封的情况下，nginx-ui默认提供的证书申请方案无法实现(无法从外网访问到/.well-known/acme-challenge)

建议方案

以下为建议方案

1、参考Lego

可以参考Lego，提供基于DNS服务商的证书申请方案(Lego已经提供了很多的DNS服务商API调用)

2、使用基于DNS的text记录解析

通过在DNS解析里添加一条text记录来证明自己对该域名的拥有权，参考Letsencrypt通过DNS TXT记录来验证域名有效性

以上

另

本人是前端开发，如果前端需要支持可以联系我

Originally created by @AC-0308 on GitHub (Dec 30, 2022). Original GitHub issue: https://github.com/0xJacky/nginx-ui/issues/51 # 关于非80端口下，Let's Encrypt功能的补充建议 ## 使用场景 1. 家用宽带-动态公网ip 2. `80`、`443`端口被封 3. 使用DDNS服务，将动态公网ip更新到阿里DNS解析 4. 使用docker运行`nginx-ui`作内网服务的反向代理到公网 ## 遇到问题 在`80`端口被封的情况下，`nginx-ui`默认提供的证书申请方案无法实现(无法从外网访问到`/.well-known/acme-challenge`) ## 建议方案 以下为建议方案 ### 1、参考Lego 可以参考[Lego](https://github.com/go-acme/lego)，提供基于DNS服务商的证书申请方案(`Lego`已经提供了很多的DNS服务商API调用) ### 2、使用基于DNS的text记录解析 通过在DNS解析里添加一条text记录来证明自己对该域名的拥有权，参考[Letsencrypt通过DNS TXT记录来验证域名有效性](https://blog.csdn.net/u012291393/article/details/78768547) 以上 ## 另 本人是前端开发，如果前端需要支持可以联系我

kerem 2026-03-12 19:13:49 +03:00

• closed this issue
• added the
  enhancement
  label

kerem commented 2026-03-12 19:14:05 +03:00

Author

Owner

Copy link

@0xJacky commented on GitHub (Jan 1, 2023):

简单看了一下，lego 的话 dns challenge 可能得重新写一遍，他现在用的环境变量来传递的 credentials。

<!-- gh-comment-id:1368389004 --> @0xJacky commented on GitHub (Jan 1, 2023): 简单看了一下，lego 的话 dns challenge 可能得重新写一遍，他现在用的环境变量来传递的 credentials。

kerem commented 2026-03-12 19:14:10 +03:00

Author

Owner

Copy link

@Hintay commented on GitHub (Jan 7, 2023):

我们研究了一下，因为涉及到更新 DNS Text 记录，而每家 DNS 服务商管理方式均有不同，因此 DNS Challenge 没有能简单实现自动续签的方案。不过，我们可以试着增加手动使用 DNS Challenge 签发或续期的功能。

如果您仅是 80 端口无法访问，可以在 Nginx UI 中修改 HTTP Challenge 的端口，并此端口映射至公网。

<!-- gh-comment-id:1374389997 --> @Hintay commented on GitHub (Jan 7, 2023): 我们研究了一下，因为涉及到更新 DNS Text 记录，而每家 DNS 服务商管理方式均有不同，因此 DNS Challenge 没有能简单实现自动续签的方案。不过，我们可以试着增加手动使用 DNS Challenge 签发或续期的功能。 如果您仅是 80 端口无法访问，可以在 Nginx UI 中修改 HTTP Challenge 的端口，并此端口映射至公网。

kerem commented 2026-03-12 19:14:15 +03:00

Author

Owner

Copy link

@AC-0308 commented on GitHub (Jan 7, 2023):

我们研究了一下，因为涉及到更新 DNS Text 记录，而每家 DNS 服务商管理方式均有不同，因此 DNS Challenge 没有能简单实现自动续签的方案。不过，我们可以试着增加手动使用 DNS Challenge 签发或续期的功能。

如果您仅是 80 端口无法访问，可以在 Nginx UI 中修改 HTTP Challenge 的端口，并此端口映射至公网。

确实，如果能够指定challenge的端口也能解决这个问题，就不用再开发额外的内容，是个很不错的主意。当时我也是想研究脚本怎么指定端口来着，但是没有成功，看大佬们能不能解决哇。

<!-- gh-comment-id:1374390585 --> @AC-0308 commented on GitHub (Jan 7, 2023): > 我们研究了一下，因为涉及到更新 DNS Text 记录，而每家 DNS 服务商管理方式均有不同，因此 DNS Challenge 没有能简单实现自动续签的方案。不过，我们可以试着增加手动使用 DNS Challenge 签发或续期的功能。 > > 如果您仅是 80 端口无法访问，可以在 Nginx UI 中修改 HTTP Challenge 的端口，并此端口映射至公网。 确实，如果能够指定challenge的端口也能解决这个问题，就不用再开发额外的内容，是个很不错的主意。当时我也是想研究脚本怎么指定端口来着，但是没有成功，看大佬们能不能解决哇。

kerem commented 2026-03-12 19:14:20 +03:00

Author

Owner

Copy link

@Hintay commented on GitHub (Jan 7, 2023):

您可以在 偏好设置 中修改 HTTP Challenge 监听端口。

<!-- gh-comment-id:1374406851 --> @Hintay commented on GitHub (Jan 7, 2023): 您可以在 `偏好设置` 中修改 `HTTP Challenge 监听端口`。

kerem commented 2026-03-12 19:14:26 +03:00

Author

Owner

Copy link

@0xJacky commented on GitHub (Jan 7, 2023):

但还是需要有能访问80端口的公网ip来反向代理这个端口的

<!-- gh-comment-id:1374407263 --> @0xJacky commented on GitHub (Jan 7, 2023): 但还是需要有能访问80端口的公网ip来反向代理这个端口的

kerem commented 2026-03-12 19:14:31 +03:00

Author

Owner

Copy link

@Hintay commented on GitHub (Jan 7, 2023):

根据 ACME 规范，HTTP Challenge 必须为 80 或 443 端口。因此如 Jacky 所说，您的公网 IP 需要暴露这两个端口，并反代至设置中设定的HTTP Challenge 监听端口。详情请参阅：https://letsencrypt.org/docs/challenge-types/#http-01-challenge
中文版为：https://letsencrypt.org/zh-cn/docs/challenge-types/#http-01-%E9%AA%8C%E8%AF%81

<!-- gh-comment-id:1374407972 --> @Hintay commented on GitHub (Jan 7, 2023): 根据 ACME 规范，HTTP Challenge 必须为 80 或 443 端口。因此如 Jacky 所说，您的公网 IP 需要暴露这两个端口，并反代至设置中设定的`HTTP Challenge 监听端口`。详情请参阅：https://letsencrypt.org/docs/challenge-types/#http-01-challenge 中文版为：https://letsencrypt.org/zh-cn/docs/challenge-types/#http-01-%E9%AA%8C%E8%AF%81

kerem commented 2026-03-12 19:14:36 +03:00

Author

Owner

Copy link

@0xJacky commented on GitHub (Apr 12, 2023):

已验证方案一的可能性，在 5b8fae1 已加入 DNS Challenge 方案，此项更新将会在 v1.8 正式版发布。

<!-- gh-comment-id:1505281991 --> @0xJacky commented on GitHub (Apr 12, 2023): 已验证方案一的可能性，在 5b8fae1 已加入 DNS Challenge 方案，此项更新将会在 v1.8 正式版发布。

kerem commented 2026-03-12 19:14:41 +03:00

Author

Owner

Copy link

@AC-0308 commented on GitHub (Apr 12, 2023):

已验证方案一的可能性，在 5b8fae1 已加入 DNS Challenge 方案，此项更新将会在 v1.8 正式版发布。

感谢作者的辛勤付出

<!-- gh-comment-id:1505343791 --> @AC-0308 commented on GitHub (Apr 12, 2023): > 已验证方案一的可能性，在 [5b8fae1](https://github.com/0xJacky/nginx-ui/commit/5b8fae10df9a97407e4a8d9236171b6338f166ff) 已加入 DNS Challenge 方案，此项更新将会在 v1.8 正式版发布。 感谢作者的辛勤付出

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

dev

weblate

main

renovate/uuid-14.x

renovate/typescript-6.x

renovate/all-minor-patch

cursor/interface-conversion-error-36ec

cursor/docker-api-stat-path-27ca

cursor/nginx-ui-disk-i-o-3d99

cursor/cloudflare-dns-comments-299c

cursor/access-log-dark-mode-font-dfdc

copilot/fix-ai-chat-title-error

cursor/propfind-method-logging-33b5

cursor/docker-client-version-update-d1b4

copilot/fix-nginx-ui-api-errors

cursor/update-x-forwarded-proto-header-handling-1223

cursor/fix-nginx-ui-issue-1455-gpt-5.1-codex-high-079c

cursor/update-nginx-ui-to-vue-3-gpt-5.1-codex-high-3100

cursor/investigate-nginx-ui-issue-1446-gpt-5.1-codex-high-2be0

v1

v2.3.8

v2.3.7

v2.3.6

v2.3.5

v2.3.4

v2.3.3

v2.3.2

v2.3.1

v2.3.0

v2.2.1

v2.2.0-patch.1

v2.2.0

v2.1.17

v2.1.16

v2.1.15

v2.1.14

v2.1.13

v2.1.12

v2.1.11

v2.1.10

v2.1.9

v2.1.8

v2.1.7

v2.1.6

v2.1.5

v2.1.4-patch.1

v2.1.4

v2.1.3

v2.1.2

v2.1.1

v2.1.0-patch.1

v2.1.0

v2.1.0-rc.3

v2.1.0-rc.2

v2.1.0-rc.1

v2.1.0-beta.1

v2.0.2

v2.0.1

v2.0.0

v2.0.0-rc.8-patch.1

v2.0.0-rc.8

v2.0.0-rc.7-patch.6

v2.0.0-rc.7-patch.7

v2.0.0-rc.7-patch.8

v2.0.0-rc.7-patch.5

v2.0.0-rc.7-patch.4

v2.0.0-rc.7-patch.3

v2.0.0-rc.7-patch.2

v2.0.0-rc.7-patch.1

v2.0.0-rc.7

v2.0.0-rc.6-patch.5

v2.0.0-rc.6-patch.4

v2.0.0-rc.6-patch.3

v2.0.0-rc.6-patch.2

v2.0.0-rc.6-patch.1

v2.0.0-rc.6

v2.0.0-rc.5

v2.0.0-rc.4-patch.3

v2.0.0-rc.4-patch.2

v2.0.0-rc.4-patch.1

v2.0.0-rc.4

v2.0.0-rc.3-patch.1

v2.0.0-rc.3

v2.0.0-rc.2

v2.0.0-rc.1-patch.2

v2.0.0-rc.1-patch.1

v2.0.0-rc.1

v2.0.0-beta.42

v2.0.0-beta.41

v2.0.0-beta.40

v2.0.0-beta.39-risefront.6

v2.0.0-beta.39-risefront.5

v2.0.0-beta.39-risefront.4

v2.0.0-beta.39-risefront.3

v2.0.0-beta.39-risefront.2

v2.0.0-beta.39-risefront

v2.0.0-beta.39

v2.0.0-beta.38

v2.0.0-beta.37-patch.5

v2.0.0-beta.37-patch.3

v2.0.0-beta.37-patch.4

v2.0.0-beta.37-patch.2

v2.0.0-beta.37-patch.1

v2.0.0-beta.37

v2.0.0-beta.36

v2.0.0-beta.35

v2.0.0-beta.34

v2.0.0-beta.33

v2.0.0-beta.32-patch.1

v2.0.0-beta.32

v2.0.0-beta.31

v2.0.0-beta.30

v2.0.0-beta.29

v2.0.0-beta.28

v2.0.0-beta.27

v2.0.0-beta.26

v2.0.0-beta.25-patch.2

v2.0.0-beta.25-patch.1

v2.0.0-beta.25

v2.0.0-beta.24

v2.0.0-beta.23-patch.2

v2.0.0-beta.23-patch.1

v2.0.0-beta.23

v2.0.0-beta.22

v2.0.0-beta.21

v2.0.0-beta.20

v2.0.0-beta.19

v2.0.0-beta.18-patch.2

v2.0.0-beta.18-patch.1

v2.0.0-beta.18

v2.0.0-beta.17

v2.0.0-beta.16

v2.0.0-beta.15

v2.0.0-beta.14

v2.0.0-beta.13-patch

v2.0.0-beta.13

v2.0.0-beta.12

v2.0.0-beta.11

v2.0.0-beta.10-patch

v2.0.0-beta.10

v2.0.0-beta.9

v2.0.0-beta.8-patch

v2.0.0-beta.8

v2.0.0-beta.7

v2.0.0-beta.6-patch.2

v2.0.0-beta.6-patch

v2.0.0-beta.6

v2.0.0-beta.5-patch

v2.0.0-beta.5

v2.0.0-beta.4-patch

v2.0.0-beta.4

v2.0.0-beta.3

v2.0.0-beta.2

v2.0.0-beta.1

v1.9.9-4

v1.9.9-3

v1.9.9-2

v1.9.9

v1.9.9-1

v1.8.4-patch

v1.8.4

v1.8.3

v1.8.2

v1.8.1

v1.8.0

v1.7.9

v1.7.8

v1.7.7

v1.7.6

v1.7.5

v1.7.4

v1.7.3

v1.7.2

v1.7.1

v1.7.0-patch

v1.7.0

v1.6.8

v1.6.7

v1.6.6

v1.6.5

v1.6.3

v1.6.2

v1.6.1

v1.6.0-fix

v1.6.0

v1.5.2

v1.5.1

v1.5.0

v1.5.0-beta9

v1.5.0-beta8

v1.5.0-beta7

v1.5.0-beta6

v1.5.0-beta5

v1.5.0-beta4-fix

v1.5.0-beta4

v1.5.0-beta3

v1.5.0-beta2

v1.5.0-beta1

v1.4.2

v1.4.1

v1.4.0

v1.4.0-rc1

v1.3.3-rc1

v1.3.2

v1.3.1-fix

v1.3.1

v1.3.0

v1.3.0-rc1

v1.2.2

v1.2.1

v1.2.0

v1.2.0-rc.3

v1.2.0-rc.2

v1.2.0-rc.1

v1.2.0-alpha.4

v1.2.0-alpha.3

v1.2.0-alpha.2

v1.1.0

Labels

Clear labels   

Q/A

  

bug

  

casdoor

  

dependencies

  

docker

  

documentation

  

duplicate

  

enhancement

  

help wanted

  

invalid

  

lego

  

platform:openwrt

  

platform:windows

  

pull-request

Mirrored from GitHub Pull Request

  

question

  

wontfix

No labels

Q/A

bug

casdoor

dependencies

docker

documentation

duplicate

enhancement

help wanted

invalid

lego

platform:openwrt

platform:windows

pull-request

question

wontfix

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

starred/nginx-ui#7150

No description provided.