Caddy服务器中忽略已加载证书的自动HTTPS配置指南

在使用Caddy服务器时，管理员经常会遇到需要同时使用自定义证书和自动HTTPS功能的场景。本文详细介绍了如何通过Caddyfile配置实现这一需求。

问题背景

许多管理员在配置Caddy服务器时会遇到这样的场景：部分域名使用自定义证书（如CDN提供商提供的源站证书），而其他域名则希望继续使用Caddy的自动HTTPS功能。当加载了通配符证书（如*.example.com）后，Caddy默认会禁用该域名及其子域名的自动HTTPS功能，这可能导致非CDN加速的子域名无法获得有效的HTTPS证书。

解决方案

Caddy提供了ignore_loaded_certificates选项来解决这个问题。该选项位于自动HTTPS配置部分，允许管理员指定即使已加载了某些证书，Caddy仍应为匹配的域名尝试获取新的证书。

配置方法

在Caddyfile中，可以通过auto_https指令来配置此选项：

{
    auto_https {
        ignore_loaded_certificates
    }
}

这个全局配置项告诉Caddy服务器：即使检测到已加载的证书覆盖了某些域名，仍然尝试为这些域名获取新的证书。这样就能实现：

• 使用CDN的域名继续使用自定义证书
• 其他子域名自动获取Let's Encrypt证书

实现原理

当启用此选项后，Caddy的证书管理逻辑会发生变化：

1. 证书加载阶段：仍然会加载所有配置的证书（包括手动指定的证书）
2. 证书选择阶段：对于每个请求的域名，会优先检查是否有手动配置的证书
3. 自动HTTPS阶段：如果没有找到手动配置的证书，即使该域名被已加载的通配符证书覆盖，也会尝试获取新证书

最佳实践

在实际生产环境中，建议：

1. 明确区分需要使用自定义证书和自动HTTPS的域名
2. 对于通配符证书，仔细评估是否真的需要忽略已加载证书
3. 监控证书获取情况，确保没有意外的证书申请行为
4. 在测试环境验证配置后再应用到生产环境

注意事项

使用此功能时需要注意：

• 可能会增加证书申请次数，需注意Let's Encrypt的速率限制
• 需要确保ACME挑战能够正常完成
• 对于同一域名，不会同时使用自定义证书和自动获取证书

通过合理配置，管理员可以灵活地混合使用自定义证书和自动HTTPS功能，满足不同场景下的安全需求。