Baikal与Nginx Proxy Manager集成时的SSL配置问题解决方案

在将Baikal日历服务与Nginx Proxy Manager(NPM)集成时，许多用户遇到了SSL证书无法正常工作的问题。本文将深入分析问题原因并提供完整的解决方案。

问题现象分析

当用户尝试通过NPM将HTTPS域名（如https://test.domain.com/）代理到本地运行的Baikal服务（http://localhost:5232/）时，常见以下症状：

1. NPM无法正确解析Baikal/Radicale的地址
2. SSL证书无法正常应用
3. 各种路径配置尝试均告失败

核心问题原因

经过技术分析，根本原因在于反向代理配置中缺少两个关键参数：

1. Host头信息未包含端口号
2. 协议转发头未正确设置

完整解决方案

基础配置

在NPM的"Advanced"配置区域添加以下核心参数：

proxy_set_header Host $host:$server_port;
proxy_set_header X-Forwarded-Proto $scheme;

增强配置

对于需要完整CalDAV/CardDAV支持的用户，建议补充以下配置：

location /.well-known/carddav { 
    return 301 /dav.php/; 
}
location /.well-known/caldav { 
    return 301 /dav.php/; 
}

配置说明

1. Host头设置：

   • $host:$server_port确保Baikal能获取完整的访问地址
   • 解决服务端无法识别原始请求的问题

2. 协议转发头：

   • X-Forwarded-Proto $scheme告知后端实际使用的协议
   • 避免混合内容警告和重定向循环

3. Well-known路径：

   • 标准化CalDAV/CardDAV的自动发现路径
   • 提升客户端兼容性

配置验证方法

1. 使用curl测试基础连接：

   curl -I https://test.domain.com/dav.php
   

2. 检查响应头中是否包含：

   • 正确的HTTP状态码（200或301）
   • 安全的CSP策略头

3. 使用CalDAV客户端测试：

   • 验证日历同步功能
   • 检查SSL证书有效性

常见问题排查

若配置后仍存在问题，可检查：

1. Baikal的config.yaml中system.baseUri设置
2. NPM的SSL证书是否有效且未过期
3. 防火墙是否放行了5232端口
4. Baikal服务日志中的错误信息

通过以上配置，大多数用户都能成功实现Baikal与Nginx Proxy Manager的安全集成，享受HTTPS加密的日历服务。对于特殊环境，可能需要根据实际情况调整部分参数值。