如何在Linux上使用Caddy搭建HTTPS网站？

---

介绍

在网站安全方面，HTTPS 是一个必不可少的组成部分。HTTPS（超文本传输安全协议）是一种对网站与其访问者之间传输的数据进行加密的协议。

加密确保在网站上共享的任何敏感信息（例如登录凭据或付款详细信息）不会被第三方用户拦截。如果没有 HTTPS，网站容易受到中间人攻击和网络钓鱼攻击等攻击。

这些类型的攻击可能导致严重的数据泄露，并导致用户信任度下降。除了提供安全益处外，HTTPS 还具有 SEO 优势，因为像 Google 这样的搜索引擎将其视为排名因素。

准备环境

设置域名和DNS记录

准备环境的下一步是为您的网站设置域名。域名就像一个地址，允许用户通过浏览器访问您的网站。您可以通过许多提供商（例如 Namecheap 或 GoDaddy）注册域名。

注册域名后，您需要配置 DNS 记录，以便访问者在浏览器中输入您的域名时可以找到您的网站。您通常需要创建一个 A 记录，该记录指向您的服务器的 IP 地址。

在您的服务器上安装Caddy

您需要在服务器上安装 Caddy 才能使用 HTTPS 托管网站。Caddy 是一款 Web 服务器，它使用 Let's Encrypt 证书轻松为任何网站配置 HTTPS。

要在 Ubuntu Server 20.04 LTS 上安装 Caddy，首先添加 Caddy 存储库密钥：

sudo apt update 
sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https 
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/cfg/gpg/gpg.155B6D79CA56EA34.key' | sudo tee /etc/apt/trusted.gpg.d/caddy-stable.asc 

然后添加 Caddy 存储库本身：

curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/cfg/setup/config.deb.txt?distro=debian&version=any-version' | sudo tee /etc/apt/sources.list.d/caddy-stable.list 
sudo apt update sudo apt install caddy 

配置Caddy以使用HTTPS

创建Caddyfile以定义您的网站配置

在 Linux 服务器上安装 Caddy 后，下一步是创建 Caddyfile。此文件允许您定义网站的配置，例如它将服务哪些域名以及如何路由流量。要创建一个基本的 Caddyfile，请打开文本编辑器并输入以下内容：

yourdomain.com { root /var/www/html } 

将“yourdomain.com”替换为您实际的域名，并将“/var/www/html”替换为网站根目录的路径。此简单的配置告诉 Caddy 在有人访问您的域名时从指定的目录提供文件。

使用Let's Encrypt证书为您的网站添加TLS加密

Caddy 最好的功能之一是它使添加 TLS 加密（HTTPS 中的“S”）变得非常容易。Let's Encrypt 是一个开放的证书颁发机构，提供所有主流浏览器都认可的免费 SSL/TLS 证书。要在 Caddy 中使用 Let's Encrypt，请将以下行添加到您的 Caddyfile：

tls { dns cloudflare {env.CLOUDFLARE_API_TOKEN} } 

此配置告诉 Caddy 使用 Cloudflare DNS 验证自动获取和更新 SSL/TLS 证书。将“{env.CLOUDFLARE_API_TOKEN}”替换为您服务器上环境变量中存储的实际 Cloudflare API 令牌。

使用SSL Labs测试您的HTTPS设置

使用 Caddy 和 Let's Encrypt 为您的网站配置 HTTPS 后，务必测试其安全级别。一个很好的工具是 SSL Labs 的服务器测试 (https://www.ssllabs.com/ssltest/)。只需将您的域名输入提供的字段中，然后单击“提交”。

测试将评估您网站的 SSL/TLS 配置，并根据其安全功能提供等级。争取获得“A”级，以确保您的网站尽可能安全。

高级配置选项

自定义Caddyfile

Caddy 的简洁性是其最大的优势之一，但它也允许进行大量自定义。除了指定网站根目录等基本设置外，您还可以将指令添加到 Caddyfile 以增强功能。

例如，您可以设置从 HTTP 流量到 HTTPS 流量的重定向，确保所有网站访问者都访问安全连接。如果您网站已上线一段时间并且存在使用 HTTP 指向它的现有外部链接，这尤其有用。

另一个高级配置选项是在 Caddyfile 中设置子域名。子域名可以帮助组织大型网站上的内容，并使访问者更容易找到他们想要的内容。

例如，如果您有一个销售服装和配饰的电子商务网站，您可以创建诸如“shirts.example.com”或“accessories.example.com”之类的子域名。设置子域名涉及在 Caddyfile 中创建具有各自子域名名称的单独配置块。

配置自动证书续期

Let's Encrypt 证书每 90 天到期一次，这意味着需要定期续期才能确保网站上不间断的 HTTPS 安全性。但是，每隔几个月手动续期证书可能会非常耗时且容易出错。幸运的是，Caddy 使配置自动证书续期变得很容易。

要在 Caddy 中启用自动续期，只需添加“tls”指令，后跟“self_signed off”和“management”。management 指令指定应在何处持久保存 ACME 客户端注册，以便在服务器或应用程序实例的后续重新启动期间无需任何额外的用户干预即可自动续订证书。

虽然乍一看自定义 Caddyfile 似乎令人生畏，但一旦您了解了所有内容是如何协同工作的，它实际上非常简单。此外，配置自动证书续期可确保您的 HTTPS 安全性保持最新，无需任何手动干预。

常见问题排查

调试配置过程中可能出现的一些常见错误，例如 DNS 或防火墙设置问题

尽管尽了最大努力，但在为 HTTPS 配置 Caddy 时仍可能遇到一些错误。用户面临的最常见问题之一是 DNS 问题。为了准确配置 HTTPS，您的网站需要有效的域名和准确的 DNS 记录。

如果您在通过 HTTPS 访问网站时遇到问题，请首先仔细检查您的域名和 DNS 记录是否已正确配置。此部分的错误配置可能导致服务器错误定向，并随后破坏您的 SSL 证书。

性能和安全优化技巧

在通过 HTTPS 托管网站时，Caddy 提供了几种不同的方法来优化性能和安全性。Caddy 的开发人员自己提供的最有价值的技巧之一是使用 A+ 级 SSL 密码套件来提高安全标准，同时仍保持高性能水平。另一种提高性能的方法是在内容分发网络 (CDN) 上缓存静态内容，如图像或 CSS 文件。

CDN 将频繁访问的页面的缓存版本存储在更靠近用户地理位置的地方，从而减少页面加载时间的延迟。至于安全性，请确保在故障排除或优化配置期间出现任何问题时，您都拥有最新的备份。

结论

按照本指南操作后，您现在应该已经在 Linux 服务器上使用 Caddy 托管了一个使用 HTTPS 的网站。使用 HTTPS 对于保护您的网站以及在浏览您的网站时让您的访问者安心至关重要。借助 Caddy，HTTPS 的配置过程得到了简化和简化，使其成为重视安全性和易用性的 Web 开发人员的绝佳选择。

在本指南中，我们介绍了使用 Caddy 在 Linux 上使用 HTTPS 托管网站的必要步骤。我们首先通过在服务器上安装 Linux、配置 DNS 设置和安装 Caddy 来设置我们的环境。