颠覆传统部署!Caddy:让 HTTPS 配置变得像呼吸一样简单

📅 2026/7/10 3:06:31 👁️ 阅读次数 📝 编程学习
颠覆传统部署!Caddy:让 HTTPS 配置变得像呼吸一样简单

颠覆传统的前言:从 Nginx 到 Caddy:一个配置文件的救赎

如果你还在用 Nginx 配 HTTPS,说明你享受痛苦。

申请证书、手动上传、编辑nginx.conf,测试nginx -t,祈祷不要手滑,然后设置 cron 定时续期——这套流程对生产环境是必要的,但对个人博客、Demo 站、内部工具来说,过度工程

Caddy 的解决思路很暴力:把 HTTPS 变成默认行为,而不是可选配置

一个Caddyfile搞定全部:

example.com root * /var/www/html file_server

启动。自动申请 Let's Encrypt 证书。自动续期。HTTP/2。你甚至不需要指定端口 443。

对比 Nginx 的最小可用 HTTPS 配置:

server { listen 443 ssl; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; # ... 还有 20 行你忘了的配置 }

Caddy 的杀手锏不是"简单",而是不可配置的错误。它替你做了所有安全最佳实践:OCSP Stapling、TLS 1.3、证书预加载、自动重定向 HTTP→HTTPS。这些在 Nginx 里需要手动开启,在 Caddy 里删不掉

适合谁:

  • 个人博客、文档站、Landing Page

  • 临时 Demo、Hackathon 项目

  • 任何"我只想它跑起来"的场景

不适合谁:

  • 需要精细控制 TLS 指纹的反向代理

  • 超高并发、内核调优的生产环境

  • 享受写配置文件的 masochist

底线:Caddy 用 4 行配置替代了 Nginx 的 40 行 + certbot + cron。对小型站点,这不是妥协,是正确的抽象层级

一、Caddy 简介:主打“默认安全”的新一代 Web Server

Caddy 是一款基于 Go 语言开发的开源 Web 服务器(首发于 2015 年,GitHub 6.8k+ Star)。其核心设计哲学是“Security & Simplicity by Default”(默认安全与极简)。

相较于 Nginx/Apache 等传统方案,Caddy 的核心竞争力体现在以下三个维度:

  1. 极致的自动化 HTTPS:内置 ACME 客户端,开箱即用。自动申请 Let's Encrypt 证书、自动配置 TLS、自动处理 HTTP 到 HTTPS 的重定向,并支持到期前 30 天自动续期,彻底解放运维双手。
  2. 现代化的协议与架构:原生支持 HTTP/3 (QUIC);支持配置热重载(Zero-downtime reload),修改配置无需重启服务;采用 Go 语言编写,交付为单一静态二进制文件,无任何外部依赖,部署极其轻量。
  3. 极简的配置体验:摒弃了传统服务器繁琐的配置语法,提供极简的 DSL(领域特定语言),大幅降低了学习与维护成本。

凭借这些特性,Caddy 已成为众多个人开发者与初创团队替代传统 Web 服务器、实现快速安全部署的首选方案。

二、实操:Caddy 部署,10 分钟从裸机到 HTTPS

以下基于 Ubuntu 22.04,全程命令行,无 GUI,无废话。目标:一台裸机 → 运行 HTTPS 静态站点。

前置条件:

项目状态
云服务器Ubuntu 22.04 LTS,root 权限
域名已备案,A 记录指向服务器公网 IP
防火墙80/443 端口放行

验证端口:

sudo ss -tlnp | grep -E ':(80|443)\s'

Step 1:安装 Caddy

方式 A:官方仓库(推荐,自动更新)

方式 B:单二进制(容器化/边缘场景)

wget https://github.com/caddyserver/caddy/releases/latest/download/caddy_$(dpkg --print-architecture).deb sudo dpkg -i caddy_*.deb

验证安装:

caddy version # v2.8.x 输出类似

二、实操:Caddy 部署,10 分钟从裸机到 HTTPS

以下基于 Ubuntu 22.04,全程命令行,无 GUI,无废话。目标:一台裸机 → 运行 HTTPS 静态站点。


前置条件

表格

项目状态
云服务器Ubuntu 22.04 LTS,root 权限
域名已备案,A 记录指向服务器公网 IP
防火墙80/443 端口放行

验证端口:

bash

sudo ss -tlnp | grep -E ':(80|443)\s'

没输出就去安全组里开洞,回来继续。


Step 1:安装 Caddy

方式 A:官方仓库(推荐,自动更新)

bash

# 安装依赖 sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https # 导入 GPG 密钥 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | \ sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg # 添加源 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | \ sudo tee /etc/apt/sources.list.d/caddy-stable.list # 安装 sudo apt update sudo apt install -y caddy

方式 B:单二进制(容器化/边缘场景)

bash

wget https://github.com/caddyserver/caddy/releases/latest/download/caddy_$(dpkg --print-architecture).deb sudo dpkg -i caddy_*.deb

验证安装:

bash

caddy version # v2.8.x 输出类似

Step 2:目录结构与站点文件

# 创建站点根目录 sudo mkdir -p /var/www/html sudo chown -R caddy:caddy /var/www/html # 放一个测试页 echo '<h1>It works. Over HTTPS.</h1>' | sudo tee /var/www/html/index.html

Step 3:Caddyfile(核心,3 行)

sudo tee /etc/caddy/Caddyfile << 'EOF' example.com { root * /var/www/html file_server } EOF

逐行解剖:

无证书路径、无listen 443、无ssl_certificateCaddy 在启动时自动完成:

  1. ACME 客户端初始化(Let's Encrypt / ZeroSSL)

  2. HTTP-01 挑战(监听 80 端口验证域名所有权)

  3. 证书签发 + 安装到/var/lib/caddy/.local/share/caddy/certificates

  4. 重定向 80 → 443,启用 HTTP/2

Step 4:启动与验证

# 重载配置(首次启动含自动 systemd 注册) sudo systemctl reload caddy # 或硬重启 sudo systemctl restart caddy # 查看状态 sudo systemctl status caddy --no-pager

日志追踪(调试用):

sudo journalctl -u caddy -f

正常输出应包含:

... obtained certificate ... issuer=CN=R11,O=Let's Encrypt ... certificate obtained successfully ...

Step 5:验证 HTTPS

# 本地验证证书链 curl -I https://example.com # HTTP/2 200 + strict-transport-security 头 # 证书详情 echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | \ openssl x509 -noout -text | grep -A2 "Subject Alternative Name"

浏览器打开https://example.com,地址栏锁标 → 证书 → 颁发者:Let's Encrypt。

进阶:反向代理(Bonus)

file_server换成:

example.com {
reverse_proxy localhost:3000
encode gzip zstd
header {
# 安全响应头
Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
X-Content-Type-Options "nosniff"
X-Frame-Options "DENY"
}
}

Caddy 自动处理:


Step 4:启动与验证

bash

# 重载配置(首次启动含自动 systemd 注册) sudo systemctl reload caddy # 或硬重启 sudo systemctl restart caddy # 查看状态 sudo systemctl status caddy --no-pager

日志追踪(调试用):

bash

sudo journalctl -u caddy -f

正常输出应包含:

plain

... obtained certificate ... issuer=CN=R11,O=Let's Encrypt ... certificate obtained successfully ...

Step 5:验证 HTTPS

bash

# 本地验证证书链 curl -I https://example.com # HTTP/2 200 + strict-transport-security 头 # 证书详情 echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | \ openssl x509 -noout -text | grep -A2 "Subject Alternative Name"

浏览器打开https://example.com,地址栏锁标 → 证书 → 颁发者:Let's Encrypt。


进阶:反向代理(Bonus)

file_server换成:

caddyfile

example.com { reverse_proxy localhost:3000 encode gzip zstd header { # 安全响应头 Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" X-Content-Type-Options "nosniff" X-Frame-Options "DENY" } }

Caddy 自动处理:

表格

阶段耗时
安装1 min
目录 + 测试页1 min
写 Caddyfile30 sec
启动 + ACME 验证2-3 min
验证1 min
总计≈ 6 min

剩下的 4 分钟用来泡杯咖啡,然后删掉你硬盘里那个 200 行的nginx.conf备份。


附录:Caddy vs Nginx 最小 HTTPS 配置对比


故障排查速查

表格

现象诊断
unable to get certificate80 端口未放行 / 域名未解析到本机
permission denied/var/www/html属主非caddy
证书不自动续期systemctl status caddy看 timer 状态
配置语法错误caddy validate --config /etc/caddy/Caddyfile

到此基本完成了!

  • 上游健康检查

  • 请求头转发(X-Forwarded-*

  • 自动重试与负载均衡(多上游时

  • 二、实操:Caddy 部署,10 分钟从裸机到 HTTPS

    以下基于 Ubuntu 22.04,全程命令行,无 GUI,无废话。目标:一台裸机 → 运行 HTTPS 静态站点。


    前置条件

    表格

    项目状态
    云服务器Ubuntu 22.04 LTS,root 权限
    域名已备案,A 记录指向服务器公网 IP
    防火墙80/443 端口放行

    验证端口:

    bash

    sudo ss -tlnp | grep -E ':(80|443)\s'

    没输出就去安全组里开洞,回来继续。


    Step 1:安装 Caddy

    方式 A:官方仓库(推荐,自动更新)

    bash

    # 安装依赖 sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https # 导入 GPG 密钥 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | \ sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg # 添加源 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | \ sudo tee /etc/apt/sources.list.d/caddy-stable.list # 安装 sudo apt update sudo apt install -y caddy

    方式 B:单二进制(容器化/边缘场景)

    bash

    wget https://github.com/caddyserver/caddy/releases/latest/download/caddy_$(dpkg --print-architecture).deb sudo dpkg -i caddy_*.deb

    验证安装:

    bash

    caddy version # v2.8.x 输出类似

    Step 2:目录结构与站点文件

    bash

    # 创建站点根目录 sudo mkdir -p /var/www/html sudo chown -R caddy:caddy /var/www/html # 放一个测试页 echo '<h1>It works. Over HTTPS.</h1>' | sudo tee /var/www/html/index.html

    Step 3:Caddyfile(核心,3 行)

    bash

    sudo tee /etc/caddy/Caddyfile << 'EOF' example.com { root * /var/www/html file_server } EOF

    逐行解剖:

    表格

    作用
    example.com虚拟主机标识,同时触发自动 HTTPS
    root * /var/www/html文件系统根,*表示匹配所有请求
    file_server启用静态文件服务,自动处理 index.html

    无证书路径、无listen 443、无ssl_certificateCaddy 在启动时自动完成:

  • ACME 客户端初始化(Let's Encrypt / ZeroSSL)

  • HTTP-01 挑战(监听 80 端口验证域名所有权)

  • 证书签发 + 安装到/var/lib/caddy/.local/share/caddy/certificates

  • 重定向 80 → 443,启用 HTTP/2

  • 上游健康检查

  • 请求头转发(X-Forwarded-*

  • 自动重试与负载均衡(多上游时)

测试效果(自动SSL生效!)

打开浏览器,输入http://example.com,caddy自动重定向到HTTPS,发现还没有证书,会自动申请证书。过一分钟再次进入你的站点,HTTPS页面正常显示,部署成功

GitHub - caddyserver/caddy: Fast and extensible multi-platform HTTP/1-2-3 web server with automatic HTTPS · GitHubFast and extensible multi-platform HTTP/1-2-3 web server with automatic HTTPS - caddyserver/caddyhttps://github.com/caddyserver/caddy