acme_server
埋め込みのACMEプロトコルサーバーハンドラー。これによりCaddyインスタンスは、他のあらゆるACME互換ソフトウェア(他のCaddyインスタンスを含む)の証明書を発行できます。
有効になっている場合、/acme/*パスに一致するリクエストはACMEサーバーによって処理されます。
クライアント構成
ACMEサーバーのデフォルトを使用して、ACMEクライアントはhttps://localhost/acme/local/directoryをACMEエンドポイントとして使用するように構成する必要があります。(localはCaddyのデフォルトCAのIDです。)
構文
acme_server [<matcher>] {
ca <id>
lifetime <duration>
resolvers <resolvers...>
}
-
caは、証明書に署名するための認証局のIDを指定します。デフォルトは
localで、これはCaddyのデフォルトのCAであり、ローカルで使用される自己署名証明書(開発環境で最も一般的です)を目的としています。より広範な用途の場合、混乱を避けるために別のCAを指定することをお勧めします。指定されたIDを持つCAがまだ存在しない場合、作成されます。代替のCAを構成するには、PKIアプリのグローバルオプションを参照してください。 -
lifetime(デフォルト:
12h)は発行された証明書の有効期間を指定する期間です。この値は、署名に使用される中間証明書の有効期間より短くする必要があります。絶対に必要でない限り、これを変更することはお勧めしません。 -
resolversは、ACME DNSチャレンジを解決するためのTXTレコードを検索するときに使用するDNSリゾルバーのアドレスです。指定されない限りUDPおよびポート53をデフォルトとするネットワークアドレスを受け付けます。ホストがIPアドレスの場合、アップストリームサーバーを解決するために直接ダイヤルされます。ホストがIPアドレスではない場合、Go標準ライブラリのname resolution規約を使用してアドレスが解決されます。複数のリゾルバーが指定されている場合、1つがランダムに選択されます。
例
ドメインacme.example.comのIDhomeを持つACMEサーバーを提供するには、pkiグローバルオプションを介してCAをカスタマイズし、internal発行者を使用して独自の証明書を発行します。
{
pki {
ca home {
name "My Home CA"
}
}
}
acme.example.com {
tls {
issuer internal {
ca home
}
}
acme_server {
ca home
}
}
別のCaddyサーバーがある場合、それらのサーバーは上記のACMEサーバーを使用して独自の証明書を発行できます。
{
acme_ca https://acme.example.com/acme/home/directory
acme_ca_root /path/to/home_ca_root.crt
}
example.com {
respond "Hello, world!"
}