Caddy2 与 Cloudflare 不完美结合方案

本文的大多数信息来源于社区的 lizhongyue248 帮助以及官方文档，我这边只是将相关内容整理出来。

感谢 lizhongyue248！🙏🙏🙏

01. cloudflare 相关设置

1.环境变量设置的方式无效了，需要在配置文件里面设置 token

2.不需要设置邮箱，不能使用全局 token，要单独创建一个具有如下权限的 token


Zone / Zone / Read


Zone / DNS / Edit

进入 cloudflare 管理端，点击右下角的“获取您的 API 令牌“

进入编辑页面

修改如下配置，区域资源那边选择自己的网站。

全部处理完成之后，会出现一个 api_token，值得注意的一点是这个 token 和大多数网站一样，只显示一次，注意 ⚠️ 找个地方记录下。

02. 编译 caddy 添加 tls.dns.cloudflare 模块

可以使用 golang 的 docker 镜像来构建，你运行的环境是什么 os，你就选择什么环境的 golang


$ mkdir -p caddy && cd caddy
$ wget https://raw.githubusercontent.com/caddyserver/caddy/v2/cmd/caddy/main.go

然后编辑 main.go，在 import 代码块里面添加你需要的模块：




package main

import (
	caddycmd "github.com/caddyserver/caddy/v2/cmd"

	// plug in Caddy modules here
	_ "github.com/caddyserver/caddy/v2/modules/standard"
	_ "github.com/caddyserver/tls.dns/providers/cloudflare"
)

func main() {
	caddycmd.Main()
}

然后构建就可以了，我当时构建的是 beta.15 版本


$ go mod init caddy
$ go get github.com/caddyserver/caddy/v2@v2.0.0-beta.15
$ go build

构建完成用会在当前目录生成一个 caddy 二进制文件


./caddy list-modules

结果会包含 tls.dns.cloudflare，我之前用 caddy 的 caddy-builder 镜像一直没改成功

03. caddy 相关配置

Caddy1 可以直接从 get caddy 里面选择插件进行下载

目前 caddy2 只有手动编译，get caddy 相关页面还在开发过程中

Caddyfile 里面没有配置 dns 选项，由于 go 不是很熟悉

https://github.com/caddyserver/dnsproviders/blob/master/cloudflare/cloudflare.go

这个仓库中有一个 credentials，不知道如何配置


// Package cloudflare adapts the lego Cloudflare DNS
// provider for Caddy. Importing this package plugs it in.
package cloudflare

import (
	"errors"

	"github.com/caddyserver/caddy/caddytls"
	"github.com/go-acme/lego/v3/providers/dns/cloudflare"
)

func init() {
	caddytls.RegisterDNSProvider("cloudflare", NewDNSProvider)
}

// NewDNSProvider returns a new Cloudflare DNS challenge provider.
// The credentials are interpreted as follows:
//
// len(0): use credentials from environment
// len(2): credentials[0] = Email address
//
//	credentials[1] = API key
func NewDNSProvider(credentials ...string) (caddytls.ChallengeProvider, error) {
	switch len(credentials) {
	case 0:
		return cloudflare.NewDNSProvider()
	case 2:
		config := cloudflare.NewDefaultConfig()
		config.AuthEmail = credentials[0]
		config.AuthKey = credentials[1]
		return cloudflare.NewDNSProviderConfig(config)
	default:
		return nil, errors.New("invalid credentials length")
	}
}

代码的大概意思是可以通过环境变量获取 apikey 和 mail，也可以通过 credentials 这个来获取对应的值

熟悉 go 的小伙伴可以去深入的研究下，原先是想 caddy1 的 Caddyfile 中配完 tls，然后用 caddy2 的 adapt 来自适应，目前发现不可行

caddy2 的那部分代码发生变化，可以看出来完全使用的 json 中 key


package cloudflare

import (
	"time"

	"github.com/caddyserver/caddy/v2"
	"github.com/caddyserver/caddy/v2/modules/caddytls"
	tlsdns "github.com/caddyserver/tls.dns"
	"github.com/go-acme/lego/v3/challenge"
	"github.com/go-acme/lego/v3/providers/dns/cloudflare"
)

func init() {
	caddy.RegisterModule(Cloudflare{})
}

// CaddyModule returns the Caddy module information.
func (Cloudflare) CaddyModule() caddy.ModuleInfo {
	return caddy.ModuleInfo{
		ID:  "tls.dns.cloudflare",
		New: func() caddy.Module { return new(Cloudflare) },
	}
}

// Cloudflare configures a solver for the ACME DNS challenge.
//
// Please see the following documentation about which credentials
// to supply: https://go-acme.github.io/lego/dns/cloudflare/#api-tokens.
type Cloudflare struct {
	// An API token with the scoped to all applicable domains with the
	// following permissions:
	//
	// - Zone / Zone / Read
	// - Zone / DNS / Edit
	//
	// Or, if you prefer a more strict set of privileges: give this token
	// only the `Zone / DNS / Edit` permission, scoped only to the domains
	// you want to manage certificates for, then provide a ZoneAPIToken
	// scoped to all your zones with the `Zone / Zone / Read` permission.
	APIToken string `json:"api_token,omitempty"`

	// An optional API token used in conjunction with APIToken, only
	// needed if you prefer a stricter set of privileges. If used, this
	// API token must have the `Zone / Zone / Read` for all zones.
	ZoneAPIToken string `json:"zone_api_token,omitempty"`

	tlsdns.CommonConfig
}

// NewDNSProvider returns a DNS challenge solver.
func (wrapper Cloudflare) NewDNSProvider() (challenge.Provider, error) {
	cfg := cloudflare.NewDefaultConfig()
	if wrapper.APIToken != "" {
		cfg.AuthToken = wrapper.APIToken
	}
	if wrapper.ZoneAPIToken != "" {
		cfg.ZoneToken = wrapper.ZoneAPIToken
	}
	if wrapper.CommonConfig.TTL != 0 {
		cfg.TTL = wrapper.CommonConfig.TTL
	}
	if wrapper.CommonConfig.PropagationTimeout != 0 {
		cfg.PropagationTimeout = time.Duration(wrapper.CommonConfig.PropagationTimeout)
	}
	if wrapper.CommonConfig.PollingInterval != 0 {
		cfg.PollingInterval = time.Duration(wrapper.CommonConfig.PollingInterval)
	}
	if wrapper.CommonConfig.HTTPClient != nil {
		cfg.HTTPClient = wrapper.CommonConfig.HTTPClient.HTTPClient()
	}
	return cloudflare.NewDNSProviderConfig(cfg)
}

// Interface guard
var _ caddytls.DNSProviderMaker = (*Cloudflare)(nil)

我的 caddyfile 转成 json，tls 部分如下


"tls": {
      "automation": {
        "policies": [{
          "hosts": ["solo.mufengs.com"],
          "management": {
            "challenges": {
              "dns": {
                "provider": "cloudflare",
                "api_token": "pSSnFQj",
                "base_url": "mufengs.com"
              }
            },
            "module": "acme"
          }
        }]
      }
    }

可以将上面部分直接拷到你的 josn 中 apps 那一层中

启动 caddy


caddy run --config /path/to/caddy.json

搞定收工，再次感谢 lizhongyue248

Cloudflare CDN｜入门到放弃

Cloudflare Cloudflare 提供不计量的带宽以及不计量的 DDOS 防御,且内容方便宽松,速度自选节点的话会快很多,主要是免费,免费,免费. 如何接入？ Cloudflare 目前是提供两种方式接入,不喜欢折腾,对速度没要求的用第一种,对速度有点要求想折腾的用第二种. DNS 接入 CNAME 接入注 ..

博客使用 cloudflare 加速并加入实时聊天插件

一件有意思的事情就是本来想要做 v2ray+vemss+tls+caddy+cloudflare 的，变成了使用 cloudflare 对博客进行加速。 https://dash.cloudflare.com/ 接入 cloudflare 的方法，本文不做说明，可以自行百度 [图片] cloudflare 托管了域名解 ..

Solo4.0 博客改变部署方式 docker-compose

[图片] 01. 心血来潮看到 D 大的 4.0 版本出，我基本上是每个版本都用过，每次的手动部署有点心累，代码里面的配置文件改的脑瓜子疼。作为一个二流子运维，怎么能允许手动操作这种事情发生了？是的之前太懒了 02.h2 转 MySQL 转啥转，转的我脑瓜子疼。真心后悔第一次没有用 MySQL，查了下 h2 转 My ..

Caddy2.0 使用进阶

[图片] 01.起因有小伙伴问到关于 caddy2.0 的高阶使用，之前只是简单的使用，以及自己的博客维护，于是乎搞之！原文地址：《Https 就是这么简单之 Caddy2》待解决如下： 1.关于 curl localhost:2019/load 这个接口的防护 2.docker 版的 autos ave. JS ..

Https 就是这么简单之 Caddy2

之前博客一直跑的是 Caddy1.0 版本，很轻松。就博客和小应用来说 Caddy 做 web 服务就够了，可以省去很多事情，逼格高而且不失优雅。之前写的一些关于 caddy1.0 的使用姿势基于 caddy 提升 https 安全等级 caddy 实现 google 镜像站点 01. 起因看同事在用阿里云的赛门 ..

欢迎来到这里！

我们正在构建一个小众社区，大家在这里相互信任，以平等 • 自由 • 奔放的价值观进行分享交流。最终，希望大家能够找到与自己志同道合的伙伴，共同成长。

关于

# caddy.service # # For using Caddy with a config file. # # Make sure the ExecStart and ExecReload commands are correct # for your installation. # # See https://caddyserver.com/docs/install for instructions. # # WARNING: This service does not use the --resume flag, so if you # use the API to make changes, they will be overwritten by the # Caddyfile next time the service is restarted. If you intend to # use Caddy's API to configure it, add the --resume flag to the # `caddy run` command or use the caddy-api.service file instead. [Unit] Description=Caddy Documentation=https://caddyserver.com/docs/ After=network.target [Service] User=www-data Group=www-data Environment=CADDYPATH=/etc/caddy/ssl ExecStart=/usr/local/bin/caddy run --environ --config /etc/caddy/Caddyfile ExecReload=/usr/local/bin/caddy reload --config /etc/caddy/Caddyfile TimeoutStopSec=5s LimitNOFILE=1048576 LimitNPROC=512 PrivateTmp=true ProtectSystem=full AmbientCapabilities=CAP_NET_BIND_SERVICE [Install] WantedBy=multi-user.target

{ debug http_port 80 https_port 443 admin off key_type p384 } domain1.com { header { Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" X-XSS-Protection "1; mode=block;" X-Content-Type-Options nosniff X-Frame-Options DENY } encode gzip root * /var/lib/caddy/domain1.com file_server tls { dns cloudflare <cloudflare_dns_api_token> protocols tls1.2 tls1.3 } log { output file /var/log/access.log format single_field common_log } reverse_proxy * https://reverse.domain1.net:443 { header_up Host reverse.domain1.net header_up X-Real-IP {http.request.remote.host} header_up X-Forwarded-For {http.request.remote.host} header_up X-Forwarded-Port {http.request.port} header_up X-Forwarded-Proto {http.request.scheme} header_down Set-Cookie reverse.domain1.net domain1.com } @proxyport { path /v2rayport header Connection *Upgrade* header Upgrade websocket } reverse_proxy @proxyport 127.0.0.1:1024 } domain2.com { header { Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" X-XSS-Protection "1; mode=block;" X-Content-Type-Options nosniff X-Frame-Options DENY } encode gzip root * /var/lib/caddy/domain2.com file_server tls email@example.com { protocols tls1.2 tls1.3 } log { output file /var/log/access.log format single_field common_log } reverse_proxy * http://reverse.domain2.net:80 { header_up Host reverse.domain2.net header_up X-Real-IP {http.request.remote.host} header_up X-Forwarded-For {http.request.remote.host} header_up X-Forwarded-Port {http.request.port} header_up X-Forwarded-Proto {http.request.scheme} header_down Set-Cookie reverse.domain2.net domain2.com } @proxyport { path /v2rayport header Connection *Upgrade* header Upgrade websocket } reverse_proxy @proxyport 127.0.0.1:1024 }

9 回帖

注册关于

请输入回帖内容 ...

winggy3 • 4 年前

差点忘了……补充一下 caddy.service 内容

1 操作

winggy3 在 2020-08-12 18:30:15 更新了该回帖

其他回帖

winggy3 • 4 年前 • 1 赞同

感谢博主~！果真是证书存储路径的问题，之前没有留意 caddy V2 已经改用 XDG 目录规范，以为可以继续沿用 caddy v1 的 www-data 用户和证书存储路径，后来搜索才知道 caddy V2 的证书存储路径是用户目录下面的/.local/share/caddy/，于是创建/var/www/.local/share/caddy/路径并且赋予 www-data 用户 0770 权限 caddy 就可以正常申请证书下来了。

v2 配置和 v1 差别比较大，目前 v2 没多少中文教程，硬啃生肉英文有些地方也不是很明白。上面的配置文件域名是参考论坛的一般做法把真实域名和 IP 隐藏了，见谅。现在证书问题已经解决，v2ray websocket 也已经解决，v2ray 后端已经可以和客户端正常工作了。之后剩下的大问题就是网站反代的问题了，第一个域名是用了 cloudflare 的 cdn，打开显示 403 错误；第二个域名是直接访问的，显示 525 错误。后来搜索了一下才知道原来要加入几行 header_up 命令才行。最终总算是基本完满解决了 caddy v1 升级到 v2 的配置文件问题。最终的 Caddyfile 配置文件如下：

1 回复

5 操作

winggy3 在 2020-08-17 01:30:41 更新了该回帖

winggy3 在 2020-08-17 01:17:04 更新了该回帖

winggy3 在 2020-08-17 01:16:21 更新了该回帖

winggy3 在 2020-08-17 01:12:54 更新了该回帖 winggy3 在 2020-08-15 22:53:32 更新了该回帖

yuanhenglizhen • 4 年前
捐赠者作者 MOD

你这是 caddy 想证书申请中心申请证书的时候出错了

1 回复
yuanhenglizhen • 4 年前
捐赠者作者 MOD

你这是有效域名吗
查看全部回帖