DNS multi-proveedor y certificados del panel
Esta guia explica como funciona el sistema actual de DNS y certificados del panel. Usa ejemplos genericos como panel.midominio.com y midominio.com; adapta los nombres a tu instalacion.
Objetivo
El panel puede funcionar con acceso por IP y tambien con un dominio o subdominio propio. Cuando usas un dominio publico, el certificado debe ser valido para evitar errores de navegador, especialmente si el dominio tiene HSTS o esta detras de un proxy.
- Acceso directo por IP: util para primera instalacion o emergencia. Normalmente usa certificado interno/autofirmado.
- Dominio directo al servidor: por ejemplo
panel.midominio.com:8444, con certificado publico emitido por Let's Encrypt. - Dominio detras de proxy DNS/CDN: por ejemplo proxy naranja de Cloudflare. En este caso se recomienda DNS-01.
Donde se configura
- Dominio del panel: Ajustes del servidor/panel.
- Asistente ACME:
/musedock/settings/acme-assistant. Diagnostica puertos, proveedor DNS, metodo ACME y errores de emision. - Cuentas Cloudflare:
/musedock/plugins/caddy-domain-manager/cloudflare-accounts. Mantiene el flujo Cloudflare existente. - Cuentas DNS:
/musedock/plugins/caddy-domain-manager/dns-accounts. Guarda credenciales cifradas de otros proveedores DNS. - Domain Manager: permite elegir proveedor DNS global y por tenant, alias o redireccion.
Metodos ACME disponibles
HTTP-01
Let's Encrypt entra por el puerto 80 del servidor para comprobar que controlas el dominio. Requiere que el DNS apunte al servidor y que el puerto 80 sea accesible desde Internet durante emision y renovacion.
TLS-ALPN-01
Let's Encrypt entra por el puerto 443. Tambien requiere que el puerto 443 sea accesible publicamente.
DNS-01
El servidor no necesita abrir 80/443 al mundo. Caddy crea temporalmente un registro TXT en tu DNS:
_acme-challenge.panel.midominio.com = token_temporalLet's Encrypt valida ese TXT y emite el certificado. Es el metodo recomendado para paneles cerrados por firewall o dominios detras de proxy.
Apertura temporal de firewall
Si guardas el dominio del panel y el sistema detecta que 80 o 443 no estan abiertos, el panel puede pedir confirmacion y password de administrador para abrirlos temporalmente. Esto permite emitir el certificado por HTTP-01/TLS-ALPN-01 sin dejar el servidor abierto permanentemente.
Despues de la ventana temporal, el sistema debe cerrar solo las reglas que abrio como asistencia ACME. Si un administrador abre manualmente 80/443 de forma permanente, esas reglas no deben confundirse con reglas temporales del asistente.
Cloudflare sigue separado
Cloudflare mantiene su flujo propio para no romper hostings existentes:
- Cuentas Cloudflare en pantalla separada.
- Creacion de zonas cuando se usa el flujo Cloudflare gestionado.
- CNAMEs automaticos.
- Proxy naranja/gris.
- Email Routing.
- Certificados via DNS-01 cuando el proxy impide HTTP-01.
Los hostings ya creados con Cloudflare no cambian por activar otros proveedores DNS.
Cuentas DNS multi-proveedor
La pantalla Cuentas DNS permite guardar credenciales cifradas para proveedores no Cloudflare. Puedes crear varias cuentas, probar la conexion y marcar una como predeterminada por proveedor.
Al crear o editar un tenant, alias o redireccion, el proveedor DNS queda guardado en ese registro. Esto permite que un hosting use un proveedor y otro hosting use otro distinto.
Proveedores soportados
| Proveedor | Estado actual | Uso recomendado |
|---|---|---|
| Cloudflare | Gestion completa en pantalla propia | Zonas, proxy, CNAMEs, Email Routing y DNS-01 |
| DigitalOcean | Registros DNS automaticos | Crear/actualizar A, CNAME y soporte DNS-01 |
| Hetzner DNS | Registros DNS automaticos | Crear/actualizar A, CNAME y soporte DNS-01 |
| Vultr DNS | Registros DNS automaticos | Crear/actualizar A, CNAME y soporte DNS-01 |
| Linode DNS | Registros DNS automaticos | Crear/actualizar A, CNAME y soporte DNS-01 |
| Porkbun | Registros DNS automaticos si la zona existe | Dominios gestionados en Porkbun |
| PowerDNS | Registros DNS automaticos en zona existente | Infraestructura DNS propia |
| Route53 | Credenciales y diagnostico DNS-01 | Preparado para DNS-01; sin creacion automatica de zona/registros en este release |
| OVH | Credenciales y diagnostico DNS-01 | Preparado para DNS-01; sin creacion automatica de zona/registros en este release |
| Namecheap | Credenciales y diagnostico DNS-01 | Preparado para DNS-01; sin creacion automatica de zona/registros en este release |
| Gandi | Credenciales y diagnostico DNS-01 | Preparado para DNS-01; sin creacion automatica de zona/registros en este release |
| RFC2136 / BIND | Credenciales y diagnostico DNS-01 | Preparado para DNS-01 con TSIG; sin creacion automatica de zona/registros en este release |
Flujo recomendado para un dominio del panel
- Crea un registro DNS para
panel.midominio.comapuntando al servidor. - En Ajustes del panel, guarda el dominio del panel.
- Si usas DNS directo, permite HTTP-01/TLS-ALPN-01 abriendo 80/443 o usando la asistencia temporal.
- Si usas proxy o quieres firewall cerrado, configura una cuenta DNS y usa DNS-01.
- Comprueba el certificado con el navegador y con el asistente ACME.
Flujo recomendado para hostings
- Cloudflare: usa el flujo existente.
- Manual / externo: MuseDock no toca DNS; tu configuras A/CNAME fuera.
- Proveedor DNS con cuenta: MuseDock guarda el proveedor y, si hay cuenta activa compatible, crea o actualiza registros automaticamente.
Para crear registros A automaticamente es recomendable definir DNS_WEB_TARGET_IP o SERVER_PUBLIC_IP en el entorno del servidor.
Que ocurre si falta una cuenta o token
Si eliges un proveedor sin cuenta activa o con credenciales incompletas, el panel no debe romper el alta. Guarda el proveedor, muestra el aviso correspondiente y deja claro el siguiente paso: crear la cuenta DNS, corregir token, abrir puertos temporalmente o usar modo manual.
Resumen rapido
- Cloudflare sigue siendo el flujo mas completo y separado.
- DNS-01 es la mejor opcion para paneles cerrados por firewall o dominios con proxy.
- DigitalOcean, Hetzner, Vultr, Linode, Porkbun y PowerDNS ya tienen gestion automatica de registros DNS.
- Route53, OVH, Namecheap, Gandi y RFC2136 quedan listos para credenciales/diagnostico DNS-01, con automatizacion de registros pendiente de ampliar.
- Cada hosting puede usar un proveedor DNS distinto.