文档
一个 项目

acme_server

一个嵌入式的 ACME 协议 服务器处理程序。这允许一个 Caddy 实例为任何其他 ACME 兼容的软件(包括其他 Caddy 实例)颁发证书。

启用后,匹配路径 /acme/* 的请求将由 ACME 服务器处理。

客户端配置

使用 ACME 服务器默认设置时,ACME 客户端只需将 https://localhost/acme/local/directory 配置为其 ACME 端点即可。(local 是 Caddy 默认 CA 的 ID。)

语法

acme_server [<匹配器>] {
	ca         <id>
	lifetime   <持续时间>
	resolvers  <解析器...>
	challenges <挑战类型...>
	allow_wildcard_names
	allow {
		domains <域名...>
		ip_ranges <地址...>
	}
	deny {
		domains <域名...>
		ip_ranges <地址...>
	}
}

  • ca 指定用于签署证书的证书颁发机构的 ID。默认值是 local,这是 Caddy 的默认 CA,用于本地使用的自签名证书,这在开发环境中最常见。对于更广泛的使用,建议指定一个不同的 CA 以避免混淆。如果具有给定 ID 的 CA 尚不存在,它将被创建。请参阅 PKI 应用全局选项 来配置其他 CA。

  • lifetime (默认值:12h)是一个持续时间,它指定已颁发证书的有效期。此值必须小于用于签名的中间证书的生命周期。除非绝对必要,否则不建议更改此值。

  • resolvers 是在解析 ACME DNS 挑战的 TXT 记录时要使用的 DNS 解析器的地址。接受网络地址,除非指定,否则默认为 UDP 和 53 端口。如果主机是 IP 地址,它将被直接拨号以解析上游服务器。如果主机不是 IP 地址,则使用 Go 标准库的名称解析约定解析地址。如果指定了多个解析器,则随机选择一个。

  • challenges 设置启用的挑战类型。如果未设置或指令未使用值,则启用所有挑战类型。接受的值是:http-01、tls-alpn-01、dns-01。

  • allow_wildcard_names 启用带有通配符 SAN(主题备用名称)的证书颁发

  • allowdeny 配置 acme_server 的操作策略。策略评估遵循 Step-CA 此处描述的标准。

    • domains 根据策略评估标准设置要允许或拒绝的主题域名。

    • ip_ranges 根据策略评估标准设置要允许或拒绝的主题 IP 范围。

示例

要在域名 acme.example.com 上运行一个 ID 为 home 的 ACME 服务器,通过 pki 全局选项 自定义 CA,并使用 internal 颁发者颁发自己的证书:

{
	pki {
		ca home {
			name "My Home CA"
		}
	}
}

acme.example.com {
	tls {
		issuer internal {
			ca home
		}
	}
	acme_server {
		ca home
	}
}

如果您有另一个 Caddy 服务器,它可以使用上述 ACME 服务器颁发自己的证书:

{
	acme_ca https://acme.example.com/acme/home/directory
	acme_ca_root /path/to/home_ca_root.crt
}

example.com {
	respond "Hello, world!"
}