好的，作为 N8N大学 的首席主编，我将为你撰写这篇硬核的 HTTPS 证书配置指南。

HTTPS 证书配置：n8n Webhook 从“能用”到“好用”的关键一步

在 N8N大学 的日常交流群中，笔者经常看到这样的问题：“我的 Webhook 配好了，为什么外部服务调用总是报错？”、“为什么微信公众号的配置死活通不过？”。

90% 的情况，问题都出在 HTTPS 证书上。Webhook 是 n8n 的“耳朵”，负责倾听外部世界的信号。如果这个“耳朵”没有加密（HTTP），或者加密证书不受信任（自签名证书），外部服务就不敢把数据交给你。今天，笔者就带你彻底搞定 n8n 的 HTTPS 证书配置，从免费的 Let's Encrypt 到灵活的自签名，让你的自动化工作流坚如磐石。

准备工作：确认你的 n8n 环境

在动手之前，我们得先明确你的 n8n 部署方式。这直接决定了配置证书的路径。通常有三种场景：

• VPS 独立部署：通过 Docker 或 Node.js 直接安装。这是最常见也最灵活的场景，本文重点讲解此方案。
• 云服务商托管：如 Railway、Elestio 等。通常由平台自动管理证书，你只需开启 HTTPS 开关。
• 本地开发环境：内网穿透工具（如 ngrok）会自动分配 HTTPS 地址，无需自行配置。

本文主要针对 VPS 独立部署 的硬核玩家。如果你使用的是云托管服务，可以跳过证书申请步骤，直接查看 Webhook 节点配置部分。

方案一：Let‘s Encrypt 免费证书（生产环境首选）

Let's Encrypt 是全球公认的免费、自动化证书颁发机构。它能让你的网站拥有与淘宝、京东同级别的“绿色小锁”。这是生产环境的标配。

步骤 1：安装 Certbot 工具

Certbot 是申请和管理 Let's Encrypt 证书的官方命令行工具。根据你的操作系统安装即可：

Ubuntu / Debian:

sudo apt update
sudo apt install certbot -y

CentOS / RHEL:

sudo yum install certbot -y

步骤 2：申请并安装证书

假设你的域名是 n8n.example.com，并且已经通过 A 记录解析到你的服务器 IP。运行以下命令，Certbot 会自动配置 Nginx 并安装证书。

sudo certbot --nginx -d n8n.example.com

过程中会提示你输入邮箱，并同意服务条款。最关键的是，它会询问是否将 HTTP 请求重定向到 HTTPS。强烈建议选择 2 (Redirect)，确保所有流量强制加密。

步骤 3：配置 n8n 使用 HTTPS

证书装好了，n8n 还需要知道如何使用它。修改 n8n 的启动配置（如果是 Docker，修改 docker-compose.yml；如果是 Node.js，修改环境变量）。

添加以下环境变量：

N8N_PROTOCOL=https
N8N_SSL_KEY=/etc/letsencrypt/live/n8n.example.com/privkey.pem
N8N_SSL_CERT=/etc/letsencrypt/live/n8n.example.com/fullchain.pem

重启 n8n 服务后，访问 https://n8n.example.com，你应该能看到那个熟悉的安全锁图标了。

方案二：自签名证书（内网/测试环境方案）

如果你的 n8n 运行在内网，或者只是测试使用，不想麻烦域名解析，自签名证书是最佳选择。但要注意，外部服务（如微信、钉钉）通常不信任自签名证书。

步骤 1：生成自签名证书

使用 OpenSSL 生成一对密钥和证书。在服务器终端执行：

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

系统会提示你输入国家、组织等信息，随便填即可。执行完毕后，当前目录下会生成 key.pem 和 cert.pem 两个文件。

步骤 2：配置 n8n 使用自签名证书

将生成的两个文件放到 n8n 的配置目录中（例如 /home/n8n/certs/）。然后配置环境变量：

N8N_PROTOCOL=https
N8N_SSL_KEY=/home/n8n/certs/key.pem
N8N_SSL_CERT=/home/n8n/certs/cert.pem

重启服务后，用浏览器访问会提示“不安全”，这是正常的。点击“高级”继续访问即可进入 n8n 后台。

避坑指南：实战中容易忽略的细节

配置过程中，以下两个坑笔者亲自踩过，分享给你，希望能帮你节省几个小时的排错时间。

坑 1：防火墙端口没开全

启用 HTTPS 后，n8n 默认监听 443 端口。很多新手只开了 80 端口，导致 Webhook 无法通过公网访问。请务必检查防火墙规则：

# 查看防火墙状态
sudo ufw status
# 开放 443 端口
sudo ufw allow 443/tcp

坑 2：Let‘s Encrypt 证书自动续期失败

Let's Encrypt 证书有效期只有 90 天，但 Certbot 通常会自动配置续期任务。你可以手动测试续期是否正常：

sudo certbot renew --dry-run

如果报错，通常是因为 n8n 占用了 80 端口导致验证失败。解决方法是：在 n8n 的 Docker Compose 文件中，将 80 端口映射到宿主机的其他端口（如 5678），让 Nginx 独占 80 端口进行证书验证。

Webhook 节点配置：最后的一公里

证书配好了，现在回到 n8n 工作流中，配置 Webhook 节点。这是最容易被误解的地方。

当你创建一个 Webhook 节点时，n8n 会自动生成一个 URL，格式通常是 http://你的域名/webhook/唯一ID。

关键操作： 你必须手动将这个 URL 中的 http 改为 https。例如：

http://n8n.example.com/webhook/abc123
// 必须改为
https://n8n.example.com/webhook/abc123

将这个 https 开头的 URL 粘贴到你的外部服务（如微信后台、钉钉机器人配置）中。这样，外部服务才能通过加密通道将数据 POST 到你的 n8n 工作流。

FAQ 问答

Q1：我使用了 Cloudflare CDN，证书该如何配置？

如果使用了 Cloudflare，证书配置在 Cloudflare 侧即可。你需要选择“灵活”或“完全”加密模式。通常建议选择“完全（严格）”，此时 Cloudflare 会验证你源站的证书（可以是自签名或 Let's Encrypt）。n8n 的配置保持不变。

Q2：为什么我的 Webhook 还是无法接收数据？

除了证书问题，请检查三点：1) URL 是否拼写错误，特别是 https 前缀；2) 外部服务的 IP 是否被你的服务器防火墙屏蔽；3) n8n 的 Webhook 节点是否处于“激活”状态（蓝色开关打开）。

Q3：自签名证书能否用于生产环境？

绝对不能。自签名证书无法通过微信、支付宝等第三方平台的验证。它仅适用于内部系统调试或内网环境。生产环境请务必使用 Let's Encrypt 或商业证书。

总结与资源

配置 HTTPS 证书是保障 n8n Webhook 稳定运行的基石。对于绝大多数用户，Let's Encrypt + Nginx 是最佳实践，它免费且自动化。对于内网测试，自签名证书则提供了极大的灵活性。

记住 N8N大学 的核心原则：先跑通，再优化。先让 Webhook 能接收数据，再考虑证书的长期维护。如果你在配置过程中遇到任何报错，欢迎在 N8N大学 社区发帖，笔者和社区的小伙伴们会第一时间帮你排忧解难。