Caddy服务器在ACME请求中忽略系统代理的解决方案

问题背景

在使用Caddy服务器与私有PKI（如Vault）集成时，许多管理员会遇到一个常见问题：Caddy在进行ACME证书请求时似乎忽略了系统配置的网络中转设置。这个问题在特定的网络架构中尤为明显，特别是当服务器位于网络隔离区域之后需要通过中转服务器访问外部资源时。

典型网络架构

典型的受影响的网络架构通常如下：

1. PKI/ACME服务器
2. 第一道网络隔离
3. Squid网络中转服务器
4. 第二道网络隔离
5. 运行Caddy的Web服务器

在这种架构下，Caddy直接尝试连接ACME服务器而不通过配置的中转设置，导致请求被网络隔离拦截。

根本原因分析

经过深入调查，这个问题实际上并非Caddy本身的缺陷，而是与运行环境和服务管理器的配置有关。具体来说：

1. 环境变量继承问题：当通过OpenRC等服务管理器运行Caddy时，默认情况下服务管理器不会将HTTP_TRANSFER等环境变量传递给子进程。

2. 系统级配置缺失：在Alpine Linux等使用OpenRC作为init系统的发行版中，需要显式配置才能允许特定环境变量传递给服务进程。

解决方案

对于使用OpenRC作为服务管理器的系统（如Alpine Linux），解决方案如下：

1. 编辑OpenRC的主配置文件：

vi /etc/rc.conf

2. 添加或修改以下配置行：

rc_env_allow="HTTP_TRANSFER HTTPS_TRANSFER http_transfer https_transfer"

3. 重启Caddy服务使配置生效：

rc-service caddy restart

技术原理

这个解决方案的工作原理是：

1. OpenRC默认出于安全考虑会限制服务继承的环境变量
2. rc_env_allow配置项明确指定了允许传递给服务的环境变量白名单
3. 添加中转相关的环境变量后，Caddy进程就能正确获取这些设置
4. Go语言的net/http包会自动使用这些中转设置进行HTTP请求

验证方法

为了确认配置是否生效，可以使用以下方法验证：

1. 检查Caddy进程的环境变量：

cat /proc/$(pgrep caddy)/environ | tr '\0' '\n' | grep -i transfer

2. 使用Caddy的--environ标志运行以查看环境变量：

caddy --environ

3. 在网络隔离或中转服务器上检查连接是否通过中转建立

最佳实践建议

1. 对于生产环境，建议使用更精细的中转配置：

   • 考虑在Caddyfile中直接配置中转设置
   • 使用专用用户运行Caddy并配置该用户的.profile文件

2. 容器化部署时：

   • 在Dockerfile中明确设置ENV指令
   • 使用--env-file参数传递环境变量

3. 对于复杂网络环境：

   • 考虑使用HTTP_TRANSFER和NO_TRANSFER的组合
   • 为内部ACME服务器配置NO_TRANSFER例外

总结

通过正确配置服务管理器的环境变量传递机制，可以解决Caddy在ACME证书请求中忽略系统中转的问题。这个案例也提醒我们，在排查类似问题时，不仅要检查应用程序本身的配置，还需要考虑运行环境的完整上下文，包括服务管理器、操作系统和网络架构等多个层面的配置。