Pangolin项目配置Wildcard证书时404错误的排查与解决

问题背景

在使用Pangolin项目时，许多开发者会遇到从HTTP证书切换到DNS Challenge方式获取Wildcard证书后，前端页面出现404错误的问题。这种情况通常发生在按照官方文档配置后，表面上看证书获取成功，但实际访问时却无法正常加载前端界面。

典型错误表现

当出现此问题时，系统通常会有以下表现特征：

1. 证书获取过程看似成功完成，acme.json文件被正确创建
2. 访问前端页面时返回404状态码
3. Traefik日志中显示"fallback to the internal generated certificate"警告
4. 后端API服务可能正常运行，但前端Next.js服务无法访问

根本原因分析

经过深入排查，发现该问题的核心原因是Traefik动态配置文件(dynamic_config.yml)中的格式错误。具体来说：

1. YAML格式缩进问题：在配置文件中，domains部分的缩进层级不正确，导致Traefik无法正确解析证书配置
2. 证书解析失败：由于配置解析错误，Traefik无法正确使用获取的Wildcard证书，转而使用内部生成的默认证书
3. 路由匹配失效：前端服务的路由规则因证书问题而失效，导致404错误

解决方案

正确的配置方式如下：

tls:
  certResolver: letsencrypt
  domains:
    - main: "example.com"
      sans: "*.example.com"

关键点说明：

1. domains必须与certResolver保持同级缩进
2. main和sans需要正确缩进在domains下方
3. 每个层级的缩进必须使用空格而非制表符

完整配置示例

以下是经过验证可用的完整配置片段：

routers:
  next-router:
    rule: "Host(`pangolin.example.com`) && !PathPrefix(`/api/v1`)"
    service: next-service
    entryPoints:
      - websecure
    tls:
      certResolver: letsencrypt
      domains:
        - main: "example.com"
          sans: "*.example.com"

验证步骤

1. 检查Traefik日志中是否出现证书成功加载的记录
2. 使用浏览器开发者工具查看实际使用的证书
3. 确认acme.json文件大小正常(约40KB左右)
4. 测试不同子域名是否都能正确加载

最佳实践建议

1. 在正式环境前，先使用Let's Encrypt的staging环境测试
2. 每次修改配置后，彻底重启Traefik服务
3. 定期检查证书自动续期情况
4. 保持Pangolin和Traefik的版本更新

通过以上方法，开发者可以顺利解决Wildcard证书配置导致的404问题，确保Pangolin项目的前后端服务都能正常访问。