certmagic.https 一行启动 https 服务需确保域名公网可达、80端口开放、使用 staging ca 和有效邮箱,显式配置存储与日志,避免本地测试;续期依赖异步任务和持久化存储,否则证书过期将导致 tls 握手失败。
用 certmagic.HTTPS 一行启动 HTTPS 服务,但别跳过它的自动协商逻辑
Go 里最省事的 Let's Encrypt 集成就是 certmagic,它把 ACME 流程、证书缓存、续期调度全包了。直接调 certmagic.HTTPS 就能跑起带自动证书的 server,但很多人卡在“为什么本地跑不通”或“域名验证总失败”。根本原因不是代码写错,而是没让 CertMagic 看到真实请求路径——它依赖标准 HTTP-01 挑战,必须能从公网访问 /.well-known/acme-challenge/。
- 确保你的域名 A 记录已指向运行 Go 程序的服务器 IP(哪怕只是临时测试,也得解析通)
- 防火墙要放行 80 端口:CertMagic 必须用 HTTP 端口响应 ACME 挑战,即使你最终只用 HTTPS
- 别在
localhost或内网地址上试:Let’s Encrypt 不会验证私有域名,certmagic.HTTPS会静默跳过或报no domains provided - 首次运行时,它会生成账户密钥并注册到 Let’s Encrypt,这个过程不可逆且绑定邮箱;若反复失败,删掉默认缓存目录
~/.local/share/certmagic再试
certmagic.Config 里必须显式设置 CA 和 Email
不设 CA,CertMagic 默认连的是 Let’s Encrypt 的生产环境(https://acme-v02.api.letsencrypt.org/directory),但开发阶段该用 staging 地址,否则容易触发速率限制。不填 Email,ACME 注册会失败,报错类似 acme: error code 400 "urn:ietf:params:acme:error:invalidContact"。
- 开发调试务必用 staging CA:
certmagic.CAProduction改成certmagic.CAStaging -
Email字段不能为空字符串,得是真实可用邮箱,用于接收到期提醒和关键错误通知 - 缓存目录建议显式指定,避免权限问题:
Storage: &certmagic.FileStorage{Path: "./certs"} - 如果你已有 Nginx/Apache 在占 80/443,CertMagic 无法接管端口,得改用
certmagic.ManageSync手动获取证书再喂给其他 server
证书自动续期不是“设完就忘”,得检查 ManageSync 的返回值和日志
CertMagic 默认每 24 小时检查一次续期,但不会抛出 panic 或阻塞主线程。它内部用 goroutine 异步执行,失败时只打日志——而默认日志输出被关掉了。结果就是证书快过期了你完全不知道。
- 启用调试日志:
certmagic.DefaultLogger = zap.NewStdLog(zap.L())(需引入go.uber.org/zap) - 用
certmagic.ManageSync替代HTTPS时,它返回error,必须检查;比如域名 DNS 解析失败、HTTP 挑战超时都会在这里暴露 - 续期失败不会自动重试,也不会 fallback 到旧证书——一旦失败,下次 TLS 握手就会用不到有效证书,客户端直接报
ERR_CERT_INVALID - 建议加个简单健康检查 endpoint,读取
certmagic.TLSConfig().Certificates并返回最近更新时间,方便监控
在容器或无状态环境中,FileStorage 会丢证书,必须换存储后端
Docker 容器重启、K8s Pod 重建、Serverless 实例销毁……只要文件系统不持久,FileStorage 存的证书和私钥就没了。下次启动会重新申请,但 Let’s Encrypt 对同一域名的签发频率有限制(每周最多 5 次),很容易被锁住。
立即学习“go语言免费学习笔记(深入)”;
- 别指望挂载 volume 解决——多数编排平台不保证 volume 跨节点一致性,且多实例并发写会冲突
- 优先选
certmagic.S3Storage(AWS)、certmagic.GCSStorage(GCP)或自建 Redis 后端(certmagic.RedisStorage) - 如果只能用本地磁盘,至少加上锁机制:
&certmagic.LockedFileStorage{FileStorage: ...},防止多个进程同时写损坏文件 - 注意 S3/GCS 的 IAM 权限最小化:只需
s3:GetObject、s3:PutObject、s3:ListBucket,别给FullAccess
最难搞的从来不是第一次拿到证书,而是让续期在各种部署环境下安静跑满一年——它不报错,不代表它在工作。
