Caddy服务器中Tailscale证书自动获取问题的分析与解决

在Caddy服务器的最新版本中，出现了一个与Tailscale证书自动获取相关的技术问题。本文将详细分析该问题的表现、原因以及解决方案。

问题现象

当用户在Caddy配置文件中指定了email参数时，Tailscale域名无法自动获取证书。具体表现为：

1. 配置中包含email字段时，Tailscale域名（如*.ts.net）无法完成TLS证书的自动获取
2. 系统日志显示"no matching certificates and no custom selection logic"错误
3. 当移除email参数或显式指定tls.get_certificate tailscale指令时，证书获取恢复正常

技术背景

Tailscale是一种基于现代加密协议的私有网络解决方案，它提供了自己的证书颁发机制。Caddy服务器通过集成Tailscale的tscert包，能够自动为Tailscale域名获取和更新证书。

在Caddy的证书管理体系中，存在多种证书获取方式：

• 默认的ACME自动证书（Let's Encrypt）
• 手动指定证书
• 第三方证书提供者（如Tailscale）

问题原因

经过分析，这个问题源于Caddy证书管理逻辑中的一个条件判断缺陷。当配置中包含email参数时，Caddy会优先尝试使用ACME方式获取证书，而未能正确回退到Tailscale的证书获取机制。

具体表现为：

1. 系统检测到email配置，认为需要使用ACME
2. 尝试ACME获取失败（Tailscale域名不符合ACME验证要求）
3. 未能正确触发Tailscale证书提供者的备用逻辑

解决方案

该问题已在Caddy的最新代码提交中得到修复。开发者可以采取以下解决方案：

1. 升级到最新版本：使用最新代码构建的Caddy版本已包含修复
2. 临时解决方案：
   • 移除全局email配置
   • 或显式指定tls.get_certificate tailscale指令

最佳实践建议

对于同时使用Tailscale和其他域名的Caddy配置，建议：

1. 为Tailscale域名单独配置证书获取方式
2. 对其他域名保持ACME自动获取
3. 考虑使用配置片段来组织不同来源的证书配置

示例配置：

{
    debug
    email example@gmail.com
}

# 普通域名使用默认ACME
example.com {
    reverse_proxy http://10.89.0.4:80
}

# Tailscale域名显式指定证书来源
server.example-cloud.ts.net {
    tls {
        get_certificate tailscale
    }
    reverse_proxy /admin/cockpit/* https://127.0.0.1:9090
}

总结

Caddy服务器的这一证书获取问题展示了现代Web服务器中多证书源管理的复杂性。通过理解证书获取的优先级和回退机制，用户可以更好地配置和管理自己的服务器。随着Caddy项目的持续更新，这类集成问题将得到更好的解决。