feat(rvs): Caddy als TLS-Terminator + Let's Encrypt vor RVS

OAuth-Provider (Spotify, Dropbox, ...) verlangen HTTPS fuer non-localhost Redirect-URIs. Bisher lief der RVS direkt auf einem TCP-Port ohne TLS — Spotify hat den Callback abgewiesen. Loesung: Caddy im selben Compose-Stack davor. Holt automatisch ein Let's Encrypt-Zertifikat fuer PUBLIC_URL (HTTP-01 ueber Port 80), terminiert TLS auf 443 und routet alles inkl. WebSocket-Upgrades an den internen RVS-Container (Port 3000). - rvs/docker-compose.yml: caddy-Service hinzu (image caddy:latest, command 'caddy reverse-proxy --from ${PUBLIC_URL} --to rvs:3000'), rvs-Service verliert ports-Block (nur intern via aria-rvs-net), data-Volumes fuer Caddy-ACME-State (persistent, Rate-Limit-Schutz). - rvs/.env.example neu: dokumentiert PUBLIC_URL + DNS/Port- Voraussetzungen. - rvs/.gitignore neu: .env + data/ (sonst landen die Zertifikate versehentlich im Repo). - README RVS-Sektion: Setup-Schritte mit Caddy + Hinweis wie man's auskommentiert wenn ein eigener Reverse-Proxy davor steht. Wer schon einen TLS-Terminator hat (nginx/Traefik): caddy-Service in der Compose auskommentieren, rvs wieder einen ports-Block geben. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-24 20:23:28 +02:00
parent 13e87fb083
commit d939fc4ac3
4 changed files with 84 additions and 3 deletions
@@ -0,0 +1,14 @@
+# ════════════════════════════════════════════════════════
+#  ARIA RVS — Server-seitige Config
+#  Kopieren nach .env und Werte eintragen.
+# ════════════════════════════════════════════════════════
+
+# Oeffentlich erreichbarer DNS-Name dieses Servers. Caddy holt darauf ein
+# Let's Encrypt-Zertifikat (HTTP-01 Challenge ueber Port 80) und routet
+# WebSocket + HTTP weiter an den RVS-Container.
+#
+# WICHTIG:
+#  - Die Domain muss per DNS-A-Record/AAAA auf diese Maschine zeigen
+#  - Port 80 + 443 muessen vom Internet aus erreichbar sein
+#  - Kein anderer Reverse-Proxy davor (sonst Cert-Konflikt)
+PUBLIC_URL=rvs.example.de