Backend HTTPS für selbstsignierte Zertifikate

Einrichtung

Über die UI

Der Toggle sitzt im Route-Wizard in Step 2 — Transport, direkt neben Force HTTPS.

1. Route erstellen oder bearbeiten
2. In Step 2 Backend HTTPS Toggle aktivieren
3. Target Port (Step 1) auf den HTTPS-Port des Backends setzen (z.B. 5001, 8006, 8443)
4. Speichern

Über die API

# Backend HTTPS aktivieren
curl -X PUT https://gatecontrol.example.com/api/v1/routes/1 \
  -H "Authorization: Bearer gc_..." \
  -H "Content-Type: application/json" \
  -d '{
    "backend_https": true,
    "target_port": 5001
  }'

Wichtige Hinweise

• Nur aktivieren wenn das Backend HTTPS erzwingt. Wenn das Backend auch HTTP akzeptiert, ist Backend HTTPS unnötig und verschwendet CPU für den zusätzlichen TLS-Handshake.
• insecure_skip_verify bedeutet: Caddy vertraut jedem Zertifikat — auch gefälschten. Im VPN-Kontext (Caddy → WireGuard Peer) ist das akzeptabel, da der Transportweg bereits verschlüsselt ist.
• Backend HTTPS betrifft nur die Verbindung Caddy → Backend. Die Verbindung Client → Caddy wird separat durch Force HTTPS konfiguriert.
• Wenn Backend HTTPS aktiviert ist aber das Backend nur HTTP akzeptiert, schlägt die Verbindung fehl (TLS Handshake Error).
• Backend HTTPS ist nur für HTTP-Routen verfügbar. Für L4-Routen gibt es den TLS-Modus (passthrough/terminate).
• Bei Load Balancing mit Backend HTTPS: alle Backends der Route müssen HTTPS unterstützen — es gibt keine individuelle Konfiguration pro Backend.
• Für Gateway-Routen ist der Toggle wirkungslos auf dem Caddy-Leg (siehe Abschnitt oben). Wenn der LAN-Dienst HTTPS spricht, muss das im Gateway selbst konfiguriert werden.

Siehe auch

• concepts/routing.md — Gesamt-Request-Flow HTTP-Routen
• guides/adding-a-route.md — End-to-End Route-Setup
• features/gateway-backend-https.md — HTTPS hinter dem Gateway