颠覆传统的前言:从 Nginx 到 Caddy:一个配置文件的救赎
如果你还在用 Nginx 配 HTTPS,说明你享受痛苦。
申请证书、手动上传、编辑nginx.conf,测试nginx -t,祈祷不要手滑,然后设置 cron 定时续期——这套流程对生产环境是必要的,但对个人博客、Demo 站、内部工具来说,过度工程。
Caddy 的解决思路很暴力:把 HTTPS 变成默认行为,而不是可选配置。
一个Caddyfile搞定全部:
example.com root * /var/www/html file_server启动。自动申请 Let's Encrypt 证书。自动续期。HTTP/2。你甚至不需要指定端口 443。
对比 Nginx 的最小可用 HTTPS 配置:
server { listen 443 ssl; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; # ... 还有 20 行你忘了的配置 }Caddy 的杀手锏不是"简单",而是不可配置的错误。它替你做了所有安全最佳实践:OCSP Stapling、TLS 1.3、证书预加载、自动重定向 HTTP→HTTPS。这些在 Nginx 里需要手动开启,在 Caddy 里删不掉。
适合谁:
个人博客、文档站、Landing Page
临时 Demo、Hackathon 项目
任何"我只想它跑起来"的场景
不适合谁:
需要精细控制 TLS 指纹的反向代理
超高并发、内核调优的生产环境
享受写配置文件的 masochist
底线:Caddy 用 4 行配置替代了 Nginx 的 40 行 + certbot + cron。对小型站点,这不是妥协,是正确的抽象层级。
一、Caddy 简介:主打“默认安全”的新一代 Web Server
Caddy 是一款基于 Go 语言开发的开源 Web 服务器(首发于 2015 年,GitHub 6.8k+ Star)。其核心设计哲学是“Security & Simplicity by Default”(默认安全与极简)。
相较于 Nginx/Apache 等传统方案,Caddy 的核心竞争力体现在以下三个维度:
- 极致的自动化 HTTPS:内置 ACME 客户端,开箱即用。自动申请 Let's Encrypt 证书、自动配置 TLS、自动处理 HTTP 到 HTTPS 的重定向,并支持到期前 30 天自动续期,彻底解放运维双手。
- 现代化的协议与架构:原生支持 HTTP/3 (QUIC);支持配置热重载(Zero-downtime reload),修改配置无需重启服务;采用 Go 语言编写,交付为单一静态二进制文件,无任何外部依赖,部署极其轻量。
- 极简的配置体验:摒弃了传统服务器繁琐的配置语法,提供极简的 DSL(领域特定语言),大幅降低了学习与维护成本。
凭借这些特性,Caddy 已成为众多个人开发者与初创团队替代传统 Web 服务器、实现快速安全部署的首选方案。
二、实操:Caddy 部署,10 分钟从裸机到 HTTPS
以下基于 Ubuntu 22.04,全程命令行,无 GUI,无废话。目标:一台裸机 → 运行 HTTPS 静态站点。
前置条件:
| 项目 | 状态 |
|---|---|
| 云服务器 | Ubuntu 22.04 LTS,root 权限 |
| 域名 | 已备案,A 记录指向服务器公网 IP |
| 防火墙 | 80/443 端口放行 |
验证端口:
sudo ss -tlnp | grep -E ':(80|443)\s'Step 1:安装 Caddy
方式 A:官方仓库(推荐,自动更新)
方式 B:单二进制(容器化/边缘场景)
wget https://github.com/caddyserver/caddy/releases/latest/download/caddy_$(dpkg --print-architecture).deb sudo dpkg -i caddy_*.deb验证安装:
caddy version # v2.8.x 输出类似二、实操:Caddy 部署,10 分钟从裸机到 HTTPS
以下基于 Ubuntu 22.04,全程命令行,无 GUI,无废话。目标:一台裸机 → 运行 HTTPS 静态站点。
前置条件
表格
| 项目 | 状态 |
|---|---|
| 云服务器 | Ubuntu 22.04 LTS,root 权限 |
| 域名 | 已备案,A 记录指向服务器公网 IP |
| 防火墙 | 80/443 端口放行 |
验证端口:
bash
sudo ss -tlnp | grep -E ':(80|443)\s'没输出就去安全组里开洞,回来继续。
Step 1:安装 Caddy
方式 A:官方仓库(推荐,自动更新)
bash
# 安装依赖 sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https # 导入 GPG 密钥 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | \ sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg # 添加源 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | \ sudo tee /etc/apt/sources.list.d/caddy-stable.list # 安装 sudo apt update sudo apt install -y caddy方式 B:单二进制(容器化/边缘场景)
bash
wget https://github.com/caddyserver/caddy/releases/latest/download/caddy_$(dpkg --print-architecture).deb sudo dpkg -i caddy_*.deb验证安装:
bash
caddy version # v2.8.x 输出类似Step 2:目录结构与站点文件
# 创建站点根目录 sudo mkdir -p /var/www/html sudo chown -R caddy:caddy /var/www/html # 放一个测试页 echo '<h1>It works. Over HTTPS.</h1>' | sudo tee /var/www/html/index.htmlStep 3:Caddyfile(核心,3 行)
sudo tee /etc/caddy/Caddyfile << 'EOF' example.com { root * /var/www/html file_server } EOF逐行解剖:
无证书路径、无listen 443、无ssl_certificate。Caddy 在启动时自动完成:
ACME 客户端初始化(Let's Encrypt / ZeroSSL)
HTTP-01 挑战(监听 80 端口验证域名所有权)
证书签发 + 安装到
/var/lib/caddy/.local/share/caddy/certificates重定向 80 → 443,启用 HTTP/2
Step 4:启动与验证
# 重载配置(首次启动含自动 systemd 注册) sudo systemctl reload caddy # 或硬重启 sudo systemctl restart caddy # 查看状态 sudo systemctl status caddy --no-pager日志追踪(调试用):
sudo journalctl -u caddy -f正常输出应包含:
... obtained certificate ... issuer=CN=R11,O=Let's Encrypt ... certificate obtained successfully ...Step 5:验证 HTTPS
# 本地验证证书链 curl -I https://example.com # HTTP/2 200 + strict-transport-security 头 # 证书详情 echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | \ openssl x509 -noout -text | grep -A2 "Subject Alternative Name"浏览器打开https://example.com,地址栏锁标 → 证书 → 颁发者:Let's Encrypt。
进阶:反向代理(Bonus)
把file_server换成:
example.com {
reverse_proxy localhost:3000
encode gzip zstd
header {
# 安全响应头
Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
X-Content-Type-Options "nosniff"
X-Frame-Options "DENY"
}
}
Caddy 自动处理:
Step 4:启动与验证
bash
# 重载配置(首次启动含自动 systemd 注册) sudo systemctl reload caddy # 或硬重启 sudo systemctl restart caddy # 查看状态 sudo systemctl status caddy --no-pager日志追踪(调试用):
bash
sudo journalctl -u caddy -f正常输出应包含:
plain
... obtained certificate ... issuer=CN=R11,O=Let's Encrypt ... certificate obtained successfully ...Step 5:验证 HTTPS
bash
# 本地验证证书链 curl -I https://example.com # HTTP/2 200 + strict-transport-security 头 # 证书详情 echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | \ openssl x509 -noout -text | grep -A2 "Subject Alternative Name"浏览器打开https://example.com,地址栏锁标 → 证书 → 颁发者:Let's Encrypt。
进阶:反向代理(Bonus)
把file_server换成:
caddyfile
example.com { reverse_proxy localhost:3000 encode gzip zstd header { # 安全响应头 Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" X-Content-Type-Options "nosniff" X-Frame-Options "DENY" } }Caddy 自动处理:
表格
| 阶段 | 耗时 |
|---|---|
| 安装 | 1 min |
| 目录 + 测试页 | 1 min |
| 写 Caddyfile | 30 sec |
| 启动 + ACME 验证 | 2-3 min |
| 验证 | 1 min |
| 总计 | ≈ 6 min |
剩下的 4 分钟用来泡杯咖啡,然后删掉你硬盘里那个 200 行的nginx.conf备份。
附录:Caddy vs Nginx 最小 HTTPS 配置对比
故障排查速查
表格
| 现象 | 诊断 |
|---|---|
unable to get certificate | 80 端口未放行 / 域名未解析到本机 |
permission denied | /var/www/html属主非caddy |
| 证书不自动续期 | systemctl status caddy看 timer 状态 |
| 配置语法错误 | caddy validate --config /etc/caddy/Caddyfile |
到此基本完成了!
上游健康检查
请求头转发(
X-Forwarded-*)自动重试与负载均衡(多上游时
二、实操:Caddy 部署,10 分钟从裸机到 HTTPS
以下基于 Ubuntu 22.04,全程命令行,无 GUI,无废话。目标:一台裸机 → 运行 HTTPS 静态站点。
前置条件
表格
项目 状态 云服务器 Ubuntu 22.04 LTS,root 权限 域名 已备案,A 记录指向服务器公网 IP 防火墙 80/443 端口放行 验证端口:
bash
sudo ss -tlnp | grep -E ':(80|443)\s'没输出就去安全组里开洞,回来继续。
Step 1:安装 Caddy
方式 A:官方仓库(推荐,自动更新)
bash
# 安装依赖 sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https # 导入 GPG 密钥 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | \ sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg # 添加源 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | \ sudo tee /etc/apt/sources.list.d/caddy-stable.list # 安装 sudo apt update sudo apt install -y caddy方式 B:单二进制(容器化/边缘场景)
bash
wget https://github.com/caddyserver/caddy/releases/latest/download/caddy_$(dpkg --print-architecture).deb sudo dpkg -i caddy_*.deb验证安装:
bash
caddy version # v2.8.x 输出类似Step 2:目录结构与站点文件
bash
# 创建站点根目录 sudo mkdir -p /var/www/html sudo chown -R caddy:caddy /var/www/html # 放一个测试页 echo '<h1>It works. Over HTTPS.</h1>' | sudo tee /var/www/html/index.htmlStep 3:Caddyfile(核心,3 行)
bash
sudo tee /etc/caddy/Caddyfile << 'EOF' example.com { root * /var/www/html file_server } EOF逐行解剖:
表格
行 作用 example.com虚拟主机标识,同时触发自动 HTTPS root * /var/www/html文件系统根, *表示匹配所有请求file_server启用静态文件服务,自动处理 index.html 无证书路径、无
listen 443、无ssl_certificate。Caddy 在启动时自动完成:ACME 客户端初始化(Let's Encrypt / ZeroSSL)
HTTP-01 挑战(监听 80 端口验证域名所有权)
证书签发 + 安装到
/var/lib/caddy/.local/share/caddy/certificates重定向 80 → 443,启用 HTTP/2
上游健康检查
请求头转发(
X-Forwarded-*)自动重试与负载均衡(多上游时)
测试效果(自动SSL生效!)
打开浏览器,输入http://example.com,caddy自动重定向到HTTPS,发现还没有证书,会自动申请证书。过一分钟再次进入你的站点,HTTPS页面正常显示,部署成功
GitHub - caddyserver/caddy: Fast and extensible multi-platform HTTP/1-2-3 web server with automatic HTTPS · GitHubFast and extensible multi-platform HTTP/1-2-3 web server with automatic HTTPS - caddyserver/caddyhttps://github.com/caddyserver/caddy