acme_server

一个嵌入式的 ACME 协议服务器处理程序。这允许 Caddy 实例为任何其他兼容 ACME 的软件（包括其他 Caddy 实例）颁发证书。

启用后，路径匹配 /acme/* 的请求将由 ACME 服务器处理。

客户端配置

使用 ACME 服务器默认设置，ACME 客户端应简单地配置为使用 https://localhost/acme/local/directory 作为其 ACME 端点。（local 是 Caddy 默认 CA 的 ID。）

语法

acme_server [<matcher>] {
	ca         <id>
	lifetime   <duration>
	resolvers  <resolvers...>
	challenges <challenges...>
	allow_wildcard_names
	allow {
		domains <domains...>
		ip_ranges <addresses...>
	}
	deny {
		domains <domains...>
		ip_ranges <addresses...>
	}
}

ca 指定用于签署证书的证书颁发机构 ID。默认值为 local，它是 Caddy 的默认 CA，旨在用于本地使用的自签名证书，这在开发环境中最为常见。为了更广泛的用途，建议指定不同的 CA 以避免混淆。如果给定 ID 的 CA 尚不存在，则将创建它。请参阅 PKI 应用程序全局选项以配置备用 CA。
lifetime（默认值：12h）是一个持续时间，指定颁发证书的有效期。此值必须小于用于签名的中间证书的有效期。除非绝对必要，否则不建议更改此值。
resolvers 是 DNS 解析器的地址，用于查找 TXT 记录以解决 ACME DNS 挑战。接受网络地址，除非另有说明，否则默认为 UDP 和端口 53。如果主机是 IP 地址，它将被直接拨号以解析上游服务器。如果主机不是 IP 地址，则地址将使用 Go 标准库的名称解析约定进行解析。如果指定了多个解析器，则随机选择一个。
challenges 设置启用的挑战类型。如果未设置或指令使用时没有值，则所有挑战类型都将启用。接受的值为：http-01、tls-alpn-01、dns-01。
allow_wildcard_names 启用颁发带有通配符 SAN（主题备用名称）的证书
allow、deny 配置 acme_server 的操作策略。策略评估遵循 Step-CA 此处描述的标准。
- domains 根据策略评估标准，设置允许或拒绝的主题域名。
- ip_ranges 根据策略评估标准，设置允许或拒绝的主题 IP 范围。

示例

要在域名 acme.example.com 上使用 ID 为 home 的 ACME 服务器，并通过 pki 全局选项自定义 CA，并使用 internal 颁发者颁发自己的证书

{
	pki {
		ca home {
			name "My Home CA"
		}
	}
}

acme.example.com {
	tls {
		issuer internal {
			ca home
		}
	}
	acme_server {
		ca home
	}
}

如果您有另一个 Caddy 服务器，它可以使用上述 ACME 服务器来颁发自己的证书

{
	acme_ca https://acme.example.com/acme/home/directory
	acme_ca_root /path/to/home_ca_root.crt
}

example.com {
	respond "Hello, world!"
}