PythonFlask配置HTTPS教程及SSL证书生成方法

本文详解了在Python Flask本地开发中安全、高效配置HTTPS的正确实践，强调应使用OpenSSL生成专用于localhost的自签名证书（而非盲目申请Let’s Encrypt或商业证书），并逐条拆解关键要点：必须通过-subj指定CN=localhost（不可用127.0.0.1）、私钥权限严格设为600、避免使用已弃用的--cert=adhoc参数、明确区分开发与生产环境的证书加载方式（Gunicorn/Uvicorn需独立配置SSL参数），同时提醒证书有效期、域名匹配、Git保密、浏览器警告本质及调试验证方法——帮你避开90%的HTTPS配置坑，真正聚焦于加密通道是否真实建立，而非徒劳消除浏览器警告。

Flask本地开发用HTTPS，别真去申请域名证书

开发阶段硬上Let’s Encrypt或商业证书，纯属给自己找麻烦。Flask自带的app.run()不支持SNI、不兼容ACME协议，也压根没设计对接证书颁发机构——它只认你手头已有的cert.pem和key.pem文件。

正确做法是用OpenSSL生成自签名证书，仅用于localhost测试。浏览器会报NET::ERR_CERT_AUTHORITY_INVALID，但可以手动点“高级→继续访问”，不影响接口调试和前端联调。

• 生成命令必须加-subj参数，否则交互式提问会卡住CI/脚本：

  openssl req -x509 -newkey rsa:4096 -nodes -out cert.pem -keyout key.pem -days 365 -subj "/CN=localhost"

• 证书里CN=localhost不能写成127.0.0.1，否则Chrome 117+会直接拒绝（Subject Alternative Name缺失且CN不匹配）
• 私钥key.pem权限必须是600，Linux/macOS下chmod 600 key.pem，否则Flask启动时抛ssl.SSLError: [SSL] PEM lib (_ssl.c:4012)

Flask run --cert=adhoc 不适合任何严肃场景

--cert=adhoc看似省事，实际是用werkzeug内置的临时证书机制，每次启动都重生成，浏览器要反复点“信任”，且无法复现真实证书链行为（比如中间CA、OCSP stapling等）。更关键的是：它绕过了你的key.pem控制权，调试TLS握手失败时完全无从排查。

• 只在快速原型验证时可用，比如5分钟测个HTTP/2是否启用
• 一旦涉及WebSocket（wss://）、fetch credentials、或Service Worker，adhoc证书必然失败
• Python 3.12+已标记该参数为deprecated，未来版本会删

正式部署前必须替换证书路径，别把dev密钥带上线

开发时用app.run(ssl_context=('cert.pem', 'key.pem'))没问题，但上线Gunicorn或Uvicorn时，ssl_context参数失效——它们接管了socket层，证书必须由WSGI/ASGI服务器自己加载。

• Gunicorn命令行加--certfile cert.pem --keyfile key.pem，路径必须是绝对路径，相对路径在daemon模式下会找不到
• Uvicorn要写成uvicorn main:app --ssl-keyfile key.pem --ssl-certfile cert.pem，注意参数名不是--keyfile而是--ssl-keyfile
• 千万别把开发用的key.pem提交进Git，哪怕.gitignore写了也没用——有人会顺手git add -f，建议生成后立刻chmod 400 key.pem并加入CI扫描规则

浏览器提示“您的连接不是私密连接”，这是正常现象

自签名证书没有上级CA背书，所有现代浏览器都会拦截。这不是Flask配置错，也不是OpenSSL命令漏参数，而是PKI体系的设计使然。重点不是消除警告，而是确认加密通道真实建立。

• 在Chrome地址栏点锁图标→“连接是私密的”→“证书有效”，能看到Issuer是“localhost”，说明证书已加载成功
• 用curl -k https://localhost:5000/api/test能通，且curl -v输出里有* SSL connection using TLSv1.3，证明TLS协商完成
• 如果前端fetch报TypeError: Failed to fetch且控制台没其他错误，大概率是混合内容（HTTP资源被HTTPS页面拦截），不是证书问题

真正容易被忽略的是证书有效期和域名匹配粒度——生成时-days 365看着够用，但如果你春节前生成、节后才上线，很可能刚部署就过期；而CN=localhost对http://localhost:5000有效，但对http://myproject.test:5000（/etc/hosts配的）无效，必须重新生成并指定对应CN。

以上就是《PythonFlask配置HTTPS教程及SSL证书生成方法》的详细内容，更多关于的资料请关注golang学习网公众号！