Caddy2 与 Cloudflare 不完美结合方案

本贴最后更新于 1699 天前,其中的信息可能已经天翻地覆

本文的大多数信息来源于社区的 lizhongyue248 帮助以及官方文档,我这边只是将相关内容整理出来。

感谢 lizhongyue248!🙏🙏🙏

01. cloudflare 相关设置

1.环境变量设置的方式无效了,需要在配置文件里面设置 token

2.不需要设置邮箱,不能使用全局 token,要单独创建一个具有如下权限的 token

Zone / Zone / Read
Zone / DNS / Edit

进入 cloudflare 管理端,点击右下角的“获取您的 API 令牌“

image.png

进入编辑页面

image.png

修改如下配置,区域资源那边选择自己的网站。

image.png

全部处理完成之后,会出现一个 api_token,值得注意的一点是这个 token 和大多数网站一样,只显示一次,注意 ⚠️ 找个地方记录下。

02. 编译 caddy 添加 tls.dns.cloudflare 模块

可以使用 golang 的 docker 镜像来构建,你运行的环境是什么 os,你就选择什么环境的 golang

$ mkdir -p caddy && cd caddy
$ wget https://raw.githubusercontent.com/caddyserver/caddy/v2/cmd/caddy/main.go

然后编辑 main.go,在 import 代码块里面添加你需要的模块:

03. caddy 相关配置

Caddy1 可以直接从 get caddy 里面选择插件进行下载

目前 caddy2 只有手动编译,get caddy 相关页面还在开发过程中

Caddyfile 里面没有配置 dns 选项,由于 go 不是很熟悉

https://github.com/caddyserver/dnsproviders/blob/master/cloudflare/cloudflare.go

这个仓库中有一个 credentials,不知道如何配置

// Package cloudflare adapts the lego Cloudflare DNS
// provider for Caddy. Importing this package plugs it in.
package cloudflare

import (
	"errors"

	"github.com/caddyserver/caddy/caddytls"
	"github.com/go-acme/lego/v3/providers/dns/cloudflare"
)

func init() {
	caddytls.RegisterDNSProvider("cloudflare", NewDNSProvider)
}

// NewDNSProvider returns a new Cloudflare DNS challenge provider.
// The credentials are interpreted as follows:
//
// len(0): use credentials from environment
// len(2): credentials[0] = Email address
//
//	credentials[1] = API key
func NewDNSProvider(credentials ...string) (caddytls.ChallengeProvider, error) {
	switch len(credentials) {
	case 0:
		return cloudflare.NewDNSProvider()
	case 2:
		config := cloudflare.NewDefaultConfig()
		config.AuthEmail = credentials[0]
		config.AuthKey = credentials[1]
		return cloudflare.NewDNSProviderConfig(config)
	default:
		return nil, errors.New("invalid credentials length")
	}
}

代码的大概意思是可以通过环境变量获取 apikey 和 mail,也可以通过 credentials 这个来获取对应的值

熟悉 go 的小伙伴可以去深入的研究下,原先是想 caddy1 的 Caddyfile 中配完 tls,然后用 caddy2 的 adapt 来自适应,目前发现不可行

caddy2 的那部分代码发生变化,可以看出来完全使用的 json 中 key

package cloudflare

import (
	"time"

	"github.com/caddyserver/caddy/v2"
	"github.com/caddyserver/caddy/v2/modules/caddytls"
	tlsdns "github.com/caddyserver/tls.dns"
	"github.com/go-acme/lego/v3/challenge"
	"github.com/go-acme/lego/v3/providers/dns/cloudflare"
)

func init() {
	caddy.RegisterModule(Cloudflare{})
}

// CaddyModule returns the Caddy module information.
func (Cloudflare) CaddyModule() caddy.ModuleInfo {
	return caddy.ModuleInfo{
		ID:  "tls.dns.cloudflare",
		New: func() caddy.Module { return new(Cloudflare) },
	}
}

// Cloudflare configures a solver for the ACME DNS challenge.
//
// Please see the following documentation about which credentials
// to supply: https://go-acme.github.io/lego/dns/cloudflare/#api-tokens.
type Cloudflare struct {
	// An API token with the scoped to all applicable domains with the
	// following permissions:
	//
	// - Zone / Zone / Read
	// - Zone / DNS / Edit
	//
	// Or, if you prefer a more strict set of privileges: give this token
	// only the `Zone / DNS / Edit` permission, scoped only to the domains
	// you want to manage certificates for, then provide a ZoneAPIToken
	// scoped to all your zones with the `Zone / Zone / Read` permission.
	APIToken string `json:"api_token,omitempty"`

	// An optional API token used in conjunction with APIToken, only
	// needed if you prefer a stricter set of privileges. If used, this
	// API token must have the `Zone / Zone / Read` for all zones.
	ZoneAPIToken string `json:"zone_api_token,omitempty"`

	tlsdns.CommonConfig
}

// NewDNSProvider returns a DNS challenge solver.
func (wrapper Cloudflare) NewDNSProvider() (challenge.Provider, error) {
	cfg := cloudflare.NewDefaultConfig()
	if wrapper.APIToken != "" {
		cfg.AuthToken = wrapper.APIToken
	}
	if wrapper.ZoneAPIToken != "" {
		cfg.ZoneToken = wrapper.ZoneAPIToken
	}
	if wrapper.CommonConfig.TTL != 0 {
		cfg.TTL = wrapper.CommonConfig.TTL
	}
	if wrapper.CommonConfig.PropagationTimeout != 0 {
		cfg.PropagationTimeout = time.Duration(wrapper.CommonConfig.PropagationTimeout)
	}
	if wrapper.CommonConfig.PollingInterval != 0 {
		cfg.PollingInterval = time.Duration(wrapper.CommonConfig.PollingInterval)
	}
	if wrapper.CommonConfig.HTTPClient != nil {
		cfg.HTTPClient = wrapper.CommonConfig.HTTPClient.HTTPClient()
	}
	return cloudflare.NewDNSProviderConfig(cfg)
}

// Interface guard
var _ caddytls.DNSProviderMaker = (*Cloudflare)(nil)

我的 caddyfile 转成 json,tls 部分如下

"tls": {
      "automation": {
        "policies": [{
          "hosts": ["solo.mufengs.com"],
          "management": {
            "challenges": {
              "dns": {
                "provider": "cloudflare",
                "api_token": "pSSnFQj",
                "base_url": "mufengs.com"
              }
            },
            "module": "acme"
          }
        }]
      }
    }

可以将上面部分直接拷到你的 josn 中 apps 那一层中

启动 caddy

caddy run --config /path/to/caddy.json

搞定收工,再次感谢 lizhongyue248

  • Caddy

    Caddy 是一款默认自动启用 HTTPS 的 HTTP/2 Web 服务器。

    12 引用 • 54 回帖 • 164 关注
  • Cloudflare
    4 引用 • 28 回帖
2 操作
yuanhenglizhen 在 2020-03-30 17:43:23 更新了该帖
yuanhenglizhen 在 2020-03-30 17:11:23 置顶了该帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • wzy911

    你好,楼主,刚刚用了你的方法,发现 main.go 里的地址下已经无法找到编译所需文件,我用的是 caddy v2.4.0,已经弄了好几天了,都没弄明白,麻烦帮我研究一些吧,非常感谢~

  • 其他回帖
  • yuanhenglizhen

    你这是 caddy 想证书申请中心申请证书的时候出错了

    1 回复
  • winggy3

    博主你好,我之前用 caddy 1.0.4 在 VPS 上反向代理了一个网站与一个 websocket 端口,并且通过 cloudflare cdn 中转。之前跑得好好的,前几天参照你另一篇博文手动修改 main.go 编译了带 tls.dns.cloudflare 模块的 caddy v.2.1.1,手贱升级 v2 之后发现踩了大坑……想重新编译 1.0.4 版发现官方居然已经将 V1 的全部链接下线了……没办法重新编译带 cloudflare 的 v1 caddy。没办法我一个 Linux 只会基本皮毛的菜鸡,只能在官方指引和中文资料不全情况下硬靠 Google 搜索把 caddyfile 写好,好不容易可以运行起来了,还是不停报错……不知道博主是否愿意帮忙把脉诊断 😭

    Caddyfile 内容:

    {
      debug
      http_port   80
      https_port  443
      admin   off
      key_type p384
    }
    
    domain1.com
    {
    header {
      Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
      X-XSS-Protection "1; mode=block;"
      X-Content-Type-Options nosniff
      X-Frame-Options DENY
    }
    
      {
      @http {
        protocol http
        }
      redir @http https://domain1.com
      }
    
      encode gzip
      root * /var/lib/caddy/domain1.com
      tls {
      dns cloudflare <cloudflare_dns_api_key>
      protocols tls1.2 tls1.3
      }
    
      log {
        output file /var/log/access.log 
        format single_field common_log
      }
    
      reverse_proxy https://reverse.domain1.com:443
    
      @proxyport {
      header Connection *Upgrade*
      header Upgrade    websocket
      }
      reverse_proxy @proxyport 127.0.0.1:1024
    }
    
    domain2.com
    {
    header {
      Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
      X-XSS-Protection "1; mode=block;"
      X-Content-Type-Options nosniff
      X-Frame-Options DENY
    }
    
     {
      @http {
        protocol http
      }
      redir @http https://domain2.com
      }
    
      encode gzip
      root * /var/lib/caddy/domain2.com
      tls email@example.com {
      protocols tls1.2 tls1.3
      }
    
      log {
        output file /var/log/access.log
        format single_field common_log
      }
    
      reverse_proxy https://reverse.domain2.com:443
    
      @proxyport {
      header Connection *Upgrade*
      header Upgrade    websocket
      }
      reverse_proxy @proxyport 127.0.0.1:1024
    }
    

    caddy.service 内容

    # caddy.service
    #
    # For using Caddy with a config file.
    #
    # Make sure the ExecStart and ExecReload commands are correct
    # for your installation.
    #
    # See https://caddyserver.com/docs/install for instructions.
    #
    # WARNING: This service does not use the --resume flag, so if you
    # use the API to make changes, they will be overwritten by the
    # Caddyfile next time the service is restarted. If you intend to
    # use Caddy's API to configure it, add the --resume flag to the
    # `caddy run` command or use the caddy-api.service file instead.
    
    [Unit]
    Description=Caddy
    Documentation=https://caddyserver.com/docs/
    After=network.target
    
    [Service]
    User=www-data
    Group=www-data
    Environment=CADDYPATH=/etc/caddy/ssl
    ExecStart=/usr/local/bin/caddy run --environ --config /etc/caddy/Caddyfile
    ExecReload=/usr/local/bin/caddy reload --config /etc/caddy/Caddyfile
    TimeoutStopSec=5s
    LimitNOFILE=1048576
    LimitNPROC=512
    PrivateTmp=true
    ProtectSystem=full
    AmbientCapabilities=CAP_NET_BIND_SERVICE
    
    [Install]
    WantedBy=multi-user.target
    
    

    然而跑的时候一直报错

    ● caddy.service - Caddy
    Loaded: loaded (/etc/systemd/system/caddy.service; enabled)
    Active: active (running) since Wed 2020-08-12 17:15:28 HKT; 5s ago
    Docs: https://caddyserver.com/docs/
    Main PID: 30943 (caddy)
    CGroup: /system.slice/caddy.service
    └─30943 /usr/local/bin/caddy run --environ --config /etc/caddy/Caddyfile
    
    Aug 12 17:15:33 debian caddy[30943]: 2020/08/12 17:15:33 http: TLS handshake error from X.X.X.X:42468: no certificate available for 'domain1.com'
    
    

    不知道是证书路径,还是 let's encrypt 的问题。不胜感谢。

    2 回复
    3 操作
    winggy3 在 2020-08-12 21:11:45 更新了该回帖
    winggy3 在 2020-08-12 18:30:33 更新了该回帖
    winggy3 在 2020-08-12 18:15:44 更新了该回帖
  • yuanhenglizhen

    image.png你这是有效域名吗

  • 查看全部回帖
yuanhenglizhen MOD
笔落兴亡定三端之妙,墨写清白尽六艺之奥

推荐标签 标签

  • SSL

    SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层对网络连接进行加密。

    70 引用 • 193 回帖 • 431 关注
  • Vditor

    Vditor 是一款浏览器端的 Markdown 编辑器,支持所见即所得、即时渲染(类似 Typora)和分屏预览模式。它使用 TypeScript 实现,支持原生 JavaScript、Vue、React 和 Angular。

    352 引用 • 1815 回帖 • 1 关注
  • InfluxDB

    InfluxDB 是一个开源的没有外部依赖的时间序列数据库。适用于记录度量,事件及实时分析。

    2 引用 • 73 关注
  • Kubernetes

    Kubernetes 是 Google 开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。

    110 引用 • 54 回帖
  • 机器学习

    机器学习(Machine Learning)是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。

    83 引用 • 37 回帖
  • GraphQL

    GraphQL 是一个用于 API 的查询语言,是一个使用基于类型系统来执行查询的服务端运行时(类型系统由你的数据定义)。GraphQL 并没有和任何特定数据库或者存储引擎绑定,而是依靠你现有的代码和数据支撑。

    4 引用 • 3 回帖 • 9 关注
  • 开源

    Open Source, Open Mind, Open Sight, Open Future!

    408 引用 • 3574 回帖 • 1 关注
  • Elasticsearch

    Elasticsearch 是一个基于 Lucene 的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful 接口。Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。

    117 引用 • 99 回帖 • 212 关注
  • JWT

    JWT(JSON Web Token)是一种用于双方之间传递信息的简洁的、安全的表述性声明规范。JWT 作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以 JSON 的形式安全的传递信息。

    20 引用 • 15 回帖 • 2 关注
  • BookxNote

    BookxNote 是一款全新的电子书学习工具,助力您的学习与思考,让您的大脑更高效的记忆。

    笔记整理交给我,一心只读圣贤书。

    1 引用 • 1 回帖
  • Android

    Android 是一种以 Linux 为基础的开放源码操作系统,主要使用于便携设备。2005 年由 Google 收购注资,并拉拢多家制造商组成开放手机联盟开发改良,逐渐扩展到到平板电脑及其他领域上。

    334 引用 • 323 回帖 • 2 关注
  • CentOS

    CentOS(Community Enterprise Operating System)是 Linux 发行版之一,它是来自于 Red Hat Enterprise Linux 依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定的服务器以 CentOS 替代商业版的 Red Hat Enterprise Linux 使用。两者的不同在于 CentOS 并不包含封闭源代码软件。

    238 引用 • 224 回帖 • 1 关注
  • 链书

    链书(Chainbook)是 B3log 开源社区提供的区块链纸质书交易平台,通过 B3T 实现共享激励与价值链。可将你的闲置书籍上架到链书,我们共同构建这个全新的交易平台,让闲置书籍继续发挥它的价值。

    链书社

    链书目前已经下线,也许以后还有计划重制上线。

    14 引用 • 257 回帖
  • App

    App(应用程序,Application 的缩写)一般指手机软件。

    91 引用 • 384 回帖 • 1 关注
  • 链滴

    链滴是一个记录生活的地方。

    记录生活,连接点滴

    153 引用 • 3783 回帖
  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    149 引用 • 257 回帖
  • 钉钉

    钉钉,专为中国企业打造的免费沟通协同多端平台, 阿里巴巴出品。

    15 引用 • 67 回帖 • 339 关注
  • SEO

    发布对别人有帮助的原创内容是最好的 SEO 方式。

    35 引用 • 200 回帖 • 22 关注
  • FlowUs

    FlowUs.息流 个人及团队的新一代生产力工具。

    让复杂的信息管理更轻松、自由、充满创意。

    1 引用 • 4 关注
  • Bug

    Bug 本意是指臭虫、缺陷、损坏、犯贫、窃听器、小虫等。现在人们把在程序中一些缺陷或问题统称为 bug(漏洞)。

    75 引用 • 1737 回帖 • 3 关注
  • 创造

    你创造的作品可能会帮助到很多人,如果是开源项目的话就更赞了!

    179 引用 • 995 回帖 • 1 关注
  • sts
    2 引用 • 2 回帖 • 195 关注
  • Mobi.css

    Mobi.css is a lightweight, flexible CSS framework that focus on mobile.

    1 引用 • 6 回帖 • 733 关注
  • ZeroNet

    ZeroNet 是一个基于比特币加密技术和 BT 网络技术的去中心化的、开放开源的网络和交流系统。

    1 引用 • 21 回帖 • 638 关注
  • Webswing

    Webswing 是一个能将任何 Swing 应用通过纯 HTML5 运行在浏览器中的 Web 服务器,详细介绍请看 将 Java Swing 应用变成 Web 应用

    1 引用 • 15 回帖 • 629 关注
  • 强迫症

    强迫症(OCD)属于焦虑障碍的一种类型,是一组以强迫思维和强迫行为为主要临床表现的神经精神疾病,其特点为有意识的强迫和反强迫并存,一些毫无意义、甚至违背自己意愿的想法或冲动反反复复侵入患者的日常生活。

    15 引用 • 161 回帖
  • AngularJS

    AngularJS 诞生于 2009 年,由 Misko Hevery 等人创建,后为 Google 所收购。是一款优秀的前端 JS 框架,已经被用于 Google 的多款产品当中。AngularJS 有着诸多特性,最为核心的是:MVC、模块化、自动化双向数据绑定、语义化标签、依赖注入等。2.0 版本后已经改名为 Angular。

    12 引用 • 50 回帖 • 474 关注