登录 注册

Caddy2 与 Cloudflare 不完美结合方案

本贴最后更新于 1697 天前,其中的信息可能已经天翻地覆

本文的大多数信息来源于社区的 lizhongyue248 帮助以及官方文档,我这边只是将相关内容整理出来。

感谢 lizhongyue248!🙏🙏🙏

01. cloudflare 相关设置

1.环境变量设置的方式无效了,需要在配置文件里面设置 token

2.不需要设置邮箱,不能使用全局 token,要单独创建一个具有如下权限的 token

Zone / Zone / Read

Zone / DNS / Edit

进入 cloudflare 管理端,点击右下角的“获取您的 API 令牌“

image.png

进入编辑页面

image.png

修改如下配置,区域资源那边选择自己的网站。

image.png

全部处理完成之后,会出现一个 api_token,值得注意的一点是这个 token 和大多数网站一样,只显示一次,注意 ⚠️ 找个地方记录下。

02. 编译 caddy 添加 tls.dns.cloudflare 模块

可以使用 golang 的 docker 镜像来构建,你运行的环境是什么 os,你就选择什么环境的 golang

$ mkdir -p caddy && cd caddy
$ wget https://raw.githubusercontent.com/caddyserver/caddy/v2/cmd/caddy/main.go

然后编辑 main.go,在 import 代码块里面添加你需要的模块:

03. caddy 相关配置

Caddy1 可以直接从 get caddy 里面选择插件进行下载


目前 caddy2 只有手动编译,get caddy 相关页面还在开发过程中


Caddyfile 里面没有配置 dns 选项,由于 go 不是很熟悉


https://github.com/caddyserver/dnsproviders/blob/master/cloudflare/cloudflare.go


这个仓库中有一个 credentials,不知道如何配置


// Package cloudflare adapts the lego Cloudflare DNS
// provider for Caddy. Importing this package plugs it in.
package cloudflare

import (
	"errors"

	"github.com/caddyserver/caddy/caddytls"
	"github.com/go-acme/lego/v3/providers/dns/cloudflare"
)

func init() {
	caddytls.RegisterDNSProvider("cloudflare", NewDNSProvider)
}

// NewDNSProvider returns a new Cloudflare DNS challenge provider.
// The credentials are interpreted as follows:
//
// len(0): use credentials from environment
// len(2): credentials[0] = Email address
//
//	credentials[1] = API key
func NewDNSProvider(credentials ...string) (caddytls.ChallengeProvider, error) {
	switch len(credentials) {
	case 0:
		return cloudflare.NewDNSProvider()
	case 2:
		config := cloudflare.NewDefaultConfig()
		config.AuthEmail = credentials[0]
		config.AuthKey = credentials[1]
		return cloudflare.NewDNSProviderConfig(config)
	default:
		return nil, errors.New("invalid credentials length")
	}
}



代码的大概意思是可以通过环境变量获取 apikey 和 mail,也可以通过 credentials 这个来获取对应的值


熟悉 go 的小伙伴可以去深入的研究下,原先是想 caddy1 的 Caddyfile 中配完 tls,然后用 caddy2 的 adapt 来自适应,目前发现不可行


caddy2 的那部分代码发生变化,可以看出来完全使用的 json 中 key


package cloudflare

import (
	"time"

	"github.com/caddyserver/caddy/v2"
	"github.com/caddyserver/caddy/v2/modules/caddytls"
	tlsdns "github.com/caddyserver/tls.dns"
	"github.com/go-acme/lego/v3/challenge"
	"github.com/go-acme/lego/v3/providers/dns/cloudflare"
)

func init() {
	caddy.RegisterModule(Cloudflare{})
}

// CaddyModule returns the Caddy module information.
func (Cloudflare) CaddyModule() caddy.ModuleInfo {
	return caddy.ModuleInfo{
		ID:  "tls.dns.cloudflare",
		New: func() caddy.Module { return new(Cloudflare) },
	}
}

// Cloudflare configures a solver for the ACME DNS challenge.
//
// Please see the following documentation about which credentials
// to supply: https://go-acme.github.io/lego/dns/cloudflare/#api-tokens.
type Cloudflare struct {
	// An API token with the scoped to all applicable domains with the
	// following permissions:
	//
	// - Zone / Zone / Read
	// - Zone / DNS / Edit
	//
	// Or, if you prefer a more strict set of privileges: give this token
	// only the `Zone / DNS / Edit` permission, scoped only to the domains
	// you want to manage certificates for, then provide a ZoneAPIToken
	// scoped to all your zones with the `Zone / Zone / Read` permission.
	APIToken string `json:"api_token,omitempty"`

	// An optional API token used in conjunction with APIToken, only
	// needed if you prefer a stricter set of privileges. If used, this
	// API token must have the `Zone / Zone / Read` for all zones.
	ZoneAPIToken string `json:"zone_api_token,omitempty"`

	tlsdns.CommonConfig
}

// NewDNSProvider returns a DNS challenge solver.
func (wrapper Cloudflare) NewDNSProvider() (challenge.Provider, error) {
	cfg := cloudflare.NewDefaultConfig()
	if wrapper.APIToken != "" {
		cfg.AuthToken = wrapper.APIToken
	}
	if wrapper.ZoneAPIToken != "" {
		cfg.ZoneToken = wrapper.ZoneAPIToken
	}
	if wrapper.CommonConfig.TTL != 0 {
		cfg.TTL = wrapper.CommonConfig.TTL
	}
	if wrapper.CommonConfig.PropagationTimeout != 0 {
		cfg.PropagationTimeout = time.Duration(wrapper.CommonConfig.PropagationTimeout)
	}
	if wrapper.CommonConfig.PollingInterval != 0 {
		cfg.PollingInterval = time.Duration(wrapper.CommonConfig.PollingInterval)
	}
	if wrapper.CommonConfig.HTTPClient != nil {
		cfg.HTTPClient = wrapper.CommonConfig.HTTPClient.HTTPClient()
	}
	return cloudflare.NewDNSProviderConfig(cfg)
}

// Interface guard
var _ caddytls.DNSProviderMaker = (*Cloudflare)(nil)



我的 caddyfile 转成 json,tls 部分如下


"tls": {
      "automation": {
        "policies": [{
          "hosts": ["solo.mufengs.com"],
          "management": {
            "challenges": {
              "dns": {
                "provider": "cloudflare",
                "api_token": "pSSnFQj",
                "base_url": "mufengs.com"
              }
            },
            "module": "acme"
          }
        }]
      }
    }



可以将上面部分直接拷到你的 josn 中 apps 那一层中


启动 caddy


caddy run --config /path/to/caddy.json



搞定收工,再次感谢 lizhongyue248
  • Caddy

    Caddy 是一款默认自动启用 HTTPS 的 HTTP/2 Web 服务器。

    12 引用 • 54 回帖 • 165 关注
  • Cloudflare
    4 引用 • 28 回帖
2 操作
yuanhenglizhen 在 2020-03-30 17:43:23 更新了该帖
yuanhenglizhen 在 2020-03-30 17:11:23 置顶了该帖
2 操作
9 回帖
5
3
5.7k 55 996 331 1 686 56 12 93 3.4k

相关帖子

9 回帖
Caddy2 与 Cloudflare 不完美结合方案

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • winggy3

    博主你好,我之前用 caddy 1.0.4 在 VPS 上反向代理了一个网站与一个 websocket 端口,并且通过 cloudflare cdn 中转。之前跑得好好的,前几天参照你另一篇博文手动修改 main.go 编译了带 tls.dns.cloudflare 模块的 caddy v.2.1.1,手贱升级 v2 之后发现踩了大坑……想重新编译 1.0.4 版发现官方居然已经将 V1 的全部链接下线了……没办法重新编译带 cloudflare 的 v1 caddy。没办法我一个 Linux 只会基本皮毛的菜鸡,只能在官方指引和中文资料不全情况下硬靠 Google 搜索把 caddyfile 写好,好不容易可以运行起来了,还是不停报错……不知道博主是否愿意帮忙把脉诊断 😭

    Caddyfile 内容:

    {
  debug
  http_port   80
  https_port  443
  admin   off
  key_type p384
}

domain1.com
{
header {
  Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
  X-XSS-Protection "1; mode=block;"
  X-Content-Type-Options nosniff
  X-Frame-Options DENY
}

  {
  @http {
    protocol http
    }
  redir @http https://domain1.com
  }

  encode gzip
  root * /var/lib/caddy/domain1.com
  tls {
  dns cloudflare <cloudflare_dns_api_key>
  protocols tls1.2 tls1.3
  }

  log {
    output file /var/log/access.log 
    format single_field common_log
  }

  reverse_proxy https://reverse.domain1.com:443

  @proxyport {
  header Connection *Upgrade*
  header Upgrade    websocket
  }
  reverse_proxy @proxyport 127.0.0.1:1024
}

domain2.com
{
header {
  Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
  X-XSS-Protection "1; mode=block;"
  X-Content-Type-Options nosniff
  X-Frame-Options DENY
}

 {
  @http {
    protocol http
  }
  redir @http https://domain2.com
  }

  encode gzip
  root * /var/lib/caddy/domain2.com
  tls email@example.com {
  protocols tls1.2 tls1.3
  }

  log {
    output file /var/log/access.log
    format single_field common_log
  }

  reverse_proxy https://reverse.domain2.com:443

  @proxyport {
  header Connection *Upgrade*
  header Upgrade    websocket
  }
  reverse_proxy @proxyport 127.0.0.1:1024
}

    caddy.service 内容

    # caddy.service
#
# For using Caddy with a config file.
#
# Make sure the ExecStart and ExecReload commands are correct
# for your installation.
#
# See https://caddyserver.com/docs/install for instructions.
#
# WARNING: This service does not use the --resume flag, so if you
# use the API to make changes, they will be overwritten by the
# Caddyfile next time the service is restarted. If you intend to
# use Caddy's API to configure it, add the --resume flag to the
# `caddy run` command or use the caddy-api.service file instead.

[Unit]
Description=Caddy
Documentation=https://caddyserver.com/docs/
After=network.target

[Service]
User=www-data
Group=www-data
Environment=CADDYPATH=/etc/caddy/ssl
ExecStart=/usr/local/bin/caddy run --environ --config /etc/caddy/Caddyfile
ExecReload=/usr/local/bin/caddy reload --config /etc/caddy/Caddyfile
TimeoutStopSec=5s
LimitNOFILE=1048576
LimitNPROC=512
PrivateTmp=true
ProtectSystem=full
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

    然而跑的时候一直报错

    ● caddy.service - Caddy
Loaded: loaded (/etc/systemd/system/caddy.service; enabled)
Active: active (running) since Wed 2020-08-12 17:15:28 HKT; 5s ago
Docs: https://caddyserver.com/docs/
Main PID: 30943 (caddy)
CGroup: /system.slice/caddy.service
└─30943 /usr/local/bin/caddy run --environ --config /etc/caddy/Caddyfile

Aug 12 17:15:33 debian caddy[30943]: 2020/08/12 17:15:33 http: TLS handshake error from X.X.X.X:42468: no certificate available for 'domain1.com'

    不知道是证书路径,还是 let's encrypt 的问题。不胜感谢。

    2 回复
    3 操作
    winggy3 在 2020-08-12 21:11:45 更新了该回帖
    winggy3 在 2020-08-12 18:30:33 更新了该回帖
    winggy3 在 2020-08-12 18:15:44 更新了该回帖
  • 其他回帖
  • wzy911

    你好,楼主,刚刚用了你的方法,发现 main.go 里的地址下已经无法找到编译所需文件,我用的是 caddy v2.4.0,已经弄了好几天了,都没弄明白,麻烦帮我研究一些吧,非常感谢~

  • yuanhenglizhen 2 评论
    捐赠者 作者 MOD

    @Vanessa Issue #253 · Vanessa219/vditor bug 已提

    是你提的呀,但是我没能重现。可以具体说一下重现步骤么?
    Vanessa
    @Vanessa 就是你复制本文内容,然后粘贴到随见即所得模式下,就会有这样的
    yuanhenglizhen 1
  • winggy3 1 赞同

    感谢博主~!果真是证书存储路径的问题,之前没有留意 caddy V2 已经改用 XDG 目录规范,以为可以继续沿用 caddy v1 的 www-data 用户和证书存储路径,后来搜索才知道 caddy V2 的证书存储路径是用户目录下面的/.local/share/caddy/,于是创建/var/www/.local/share/caddy/路径并且赋予 www-data 用户 0770 权限 caddy 就可以正常申请证书下来了。

    v2 配置和 v1 差别比较大,目前 v2 没多少中文教程,硬啃生肉英文有些地方也不是很明白。上面的配置文件域名是参考论坛的一般做法把真实域名和 IP 隐藏了,见谅。现在证书问题已经解决,v2ray websocket 也已经解决,v2ray 后端已经可以和客户端正常工作了。之后剩下的大问题就是网站反代的问题了,第一个域名是用了 cloudflare 的 cdn,打开显示 403 错误;第二个域名是直接访问的,显示 525 错误。后来搜索了一下才知道原来要加入几行 header_up 命令才行。最终总算是基本完满解决了 caddy v1 升级到 v2 的配置文件问题。最终的 Caddyfile 配置文件如下:

    {
	debug
	http_port 80
	https_port 443
	admin off
	key_type p384
}

domain1.com {
	header {
		Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
		X-XSS-Protection "1; mode=block;"
		X-Content-Type-Options nosniff
		X-Frame-Options DENY
	}

	encode gzip
	root * /var/lib/caddy/domain1.com
	file_server
	tls {
		dns cloudflare <cloudflare_dns_api_token>
		protocols tls1.2 tls1.3
	}

	log {
		output file /var/log/access.log
		format single_field common_log
	}

	reverse_proxy * https://reverse.domain1.net:443 {
		header_up Host reverse.domain1.net
		header_up X-Real-IP {http.request.remote.host}
		header_up X-Forwarded-For {http.request.remote.host}
		header_up X-Forwarded-Port {http.request.port}
		header_up X-Forwarded-Proto {http.request.scheme}
		header_down Set-Cookie reverse.domain1.net domain1.com
	}

	@proxyport {
		path /v2rayport
		header Connection *Upgrade*
		header Upgrade websocket
	}
	reverse_proxy @proxyport 127.0.0.1:1024
}

domain2.com {
	header {
		Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
		X-XSS-Protection "1; mode=block;"
		X-Content-Type-Options nosniff
		X-Frame-Options DENY
	}

	encode gzip
	root * /var/lib/caddy/domain2.com
	file_server
	tls email@example.com {
		protocols tls1.2 tls1.3
	}

	log {
		output file /var/log/access.log
		format single_field common_log
	}

	reverse_proxy * http://reverse.domain2.net:80 {
		header_up Host reverse.domain2.net
		header_up X-Real-IP {http.request.remote.host}
		header_up X-Forwarded-For {http.request.remote.host}
		header_up X-Forwarded-Port {http.request.port}
		header_up X-Forwarded-Proto {http.request.scheme}
		header_down Set-Cookie reverse.domain2.net domain2.com
	}

	@proxyport {
		path /v2rayport
		header Connection *Upgrade*
		header Upgrade websocket
	}
	reverse_proxy @proxyport 127.0.0.1:1024
}
    1 回复
    5 操作
    winggy3 在 2020-08-17 01:30:41 更新了该回帖
    winggy3 在 2020-08-17 01:17:04 更新了该回帖
    winggy3 在 2020-08-17 01:16:21 更新了该回帖
    winggy3 在 2020-08-17 01:12:54 更新了该回帖 winggy3 在 2020-08-15 22:53:32 更新了该回帖
  • 查看全部回帖
yuanhenglizhen MOD
笔落兴亡定三端之妙,墨写清白尽六艺之奥
回帖
689
 帖子
189
 积分
6270

近期热议

推荐标签 标签

  • Quicker

    Quicker 您的指尖工具箱!操作更少,收获更多!

    32 引用 • 130 回帖 • 2 关注
  • BND

    BND(Baidu Netdisk Downloader)是一款图形界面的百度网盘不限速下载器,支持 Windows、Linux 和 Mac,详细介绍请看这里

    107 引用 • 1281 回帖 • 27 关注
  • AngularJS

    AngularJS 诞生于 2009 年,由 Misko Hevery 等人创建,后为 Google 所收购。是一款优秀的前端 JS 框架,已经被用于 Google 的多款产品当中。AngularJS 有着诸多特性,最为核心的是:MVC、模块化、自动化双向数据绑定、语义化标签、依赖注入等。2.0 版本后已经改名为 Angular。

    12 引用 • 50 回帖 • 474 关注
  • QQ

    1999 年 2 月腾讯正式推出“腾讯 QQ”,在线用户由 1999 年的 2 人(马化腾和张志东)到现在已经发展到上亿用户了,在线人数超过一亿,是目前使用最广泛的聊天软件之一。

    45 引用 • 557 回帖 • 67 关注
  • Pipe

    Pipe 是一款小而美的开源博客平台。Pipe 有着非常活跃的社区,可将文章作为帖子推送到社区,来自社区的回帖将作为博客评论进行联动(具体细节请浏览 B3log 构思 - 分布式社区网络)。

    这是一种全新的网络社区体验,让热爱记录和分享的你不再感到孤单!

    132 引用 • 1114 回帖 • 124 关注
  • 锤子科技

    锤子科技(Smartisan)成立于 2012 年 5 月,是一家制造移动互联网终端设备的公司,公司的使命是用完美主义的工匠精神,打造用户体验一流的数码消费类产品(智能手机为主),改善人们的生活质量。

    4 引用 • 31 回帖 • 4 关注
  • 国际化

    i18n(其来源是英文单词 internationalization 的首末字符 i 和 n,18 为中间的字符数)是“国际化”的简称。对程序来说,国际化是指在不修改代码的情况下,能根据不同语言及地区显示相应的界面。

    8 引用 • 26 回帖
  • Eclipse

    Eclipse 是一个开放源代码的、基于 Java 的可扩展开发平台。就其本身而言,它只是一个框架和一组服务,用于通过插件组件构建开发环境。

    75 引用 • 258 回帖 • 617 关注
  • Logseq

    Logseq 是一个隐私优先、开源的知识库工具。

    Logseq is a joyful, open-source outliner that works on top of local plain-text Markdown and Org-mode files. Use it to write, organize and share your thoughts, keep your to-do list, and build your own digital garden.

    6 引用 • 63 回帖
  • OpenStack

    OpenStack 是一个云操作系统,通过数据中心可控制大型的计算、存储、网络等资源池。所有的管理通过前端界面管理员就可以完成,同样也可以通过 Web 接口让最终用户部署资源。

    10 引用 • 4 关注
  • 大数据

    大数据(big data)是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

    93 引用 • 113 回帖
  • Chrome

    Chrome 又称 Google 浏览器,是一个由谷歌公司开发的网页浏览器。该浏览器是基于其他开源软件所编写,包括 WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。

    62 引用 • 289 回帖 • 1 关注
  • 星云链

    星云链是一个开源公链,业内简单的将其称为区块链上的谷歌。其实它不仅仅是区块链搜索引擎,一个公链的所有功能,它基本都有,比如你可以用它来开发部署你的去中心化的 APP,你可以在上面编写智能合约,发送交易等等。3 分钟快速接入星云链 (NAS) 测试网

    3 引用 • 16 回帖
  • 前端

    前端技术一般分为前端设计和前端开发,前端设计可以理解为网站的视觉设计,前端开发则是网站的前台代码实现,包括 HTML、CSS 以及 JavaScript 等。

    247 引用 • 1348 回帖
  • 小薇

    小薇是一个用 Java 写的 QQ 聊天机器人 Web 服务,可以用于社群互动。

    由于 Smart QQ 从 2019 年 1 月 1 日起停止服务,所以该项目也已经停止维护了!

    34 引用 • 467 回帖 • 742 关注
  • Kotlin

    Kotlin 是一种在 Java 虚拟机上运行的静态类型编程语言,由 JetBrains 设计开发并开源。Kotlin 可以编译成 Java 字节码,也可以编译成 JavaScript,方便在没有 JVM 的设备上运行。在 Google I/O 2017 中,Google 宣布 Kotlin 成为 Android 官方开发语言。

    19 引用 • 33 回帖 • 63 关注
  • SEO

    发布对别人有帮助的原创内容是最好的 SEO 方式。

    35 引用 • 200 回帖 • 22 关注
  • 服务器

    服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。

    125 引用 • 588 回帖
  • abitmean

    有点意思就行了

    29 关注
  • VirtualBox

    VirtualBox 是一款开源虚拟机软件,最早由德国 Innotek 公司开发,由 Sun Microsystems 公司出品的软件,使用 Qt 编写,在 Sun 被 Oracle 收购后正式更名成 Oracle VM VirtualBox。

    10 引用 • 2 回帖 • 6 关注
  • RabbitMQ

    RabbitMQ 是一个开源的 AMQP 实现,服务器端用 Erlang 语言编写,支持多种语言客户端,如:Python、Ruby、.NET、Java、C、PHP、ActionScript 等。用于在分布式系统中存储转发消息,在易用性、扩展性、高可用性等方面表现不俗。

    49 引用 • 60 回帖 • 362 关注
  • CloudFoundry

    Cloud Foundry 是 VMware 推出的业界第一个开源 PaaS 云平台,它支持多种框架、语言、运行时环境、云平台及应用服务,使开发人员能够在几秒钟内进行应用程序的部署和扩展,无需担心任何基础架构的问题。

    5 引用 • 18 回帖 • 167 关注
  • 支付宝

    支付宝是全球领先的独立第三方支付平台,致力于为广大用户提供安全快速的电子支付/网上支付/安全支付/手机支付体验,及转账收款/水电煤缴费/信用卡还款/AA 收款等生活服务应用。

    29 引用 • 347 回帖
  • etcd

    etcd 是一个分布式、高可用的 key-value 数据存储,专门用于在分布式系统中保存关键数据。

    5 引用 • 26 回帖 • 528 关注
  • flomo

    flomo 是新一代 「卡片笔记」 ,专注在碎片化时代,促进你的记录,帮你积累更多知识资产。

    5 引用 • 107 回帖
  • C

    C 语言是一门通用计算机编程语言,应用广泛。C 语言的设计目标是提供一种能以简易的方式编译、处理低级存储器、产生少量的机器码以及不需要任何运行环境支持便能运行的编程语言。

    85 引用 • 165 回帖 • 1 关注
  • Openfire

    Openfire 是开源的、基于可拓展通讯和表示协议 (XMPP)、采用 Java 编程语言开发的实时协作服务器。Openfire 的效率很高,单台服务器可支持上万并发用户。

    6 引用 • 7 回帖 • 94 关注

最新标签