核心原因分析 #

• CloudFlare SSL模式与后端服务协议不匹配：你设置CloudFlare SSL/TLS为Full或Full(strict)时，要求CloudFlare和后端（coolify-proxy）之间必须用HTTPS通信，但你配置的隧道目标是http://coolify-proxy:80（HTTP协议），无法完成SSL握手，因此HTTPS访问失败。
• 资源单独配置HTTPS引发双重SSL冲突：在Coolify中给资源添加HTTPS配置后，Coolify会给资源容器启用HTTPS，但CloudFlare Tunnel已经完成了公网侧的SSL终止，此时coolify-proxy转发到资源时会出现证书不匹配（比如资源用自签证书、域名与CloudFlare域名不一致），导致整个链路中断，HTTP和HTTPS都无法访问。

解决步骤 #

1. 调整CloudFlare SSL模式（快速测试方案）
   将CloudFlare域名的SSL/TLS加密模式改为Flexible，该模式下CloudFlare与用户端用HTTPS通信，与后端coolify-proxy用HTTP通信，适配当前隧道配置，HTTPS即可正常访问。注意此模式安全性较低，适合测试环境。

2. 配置coolify-proxy支持HTTPS（生产环境方案）

   • 在Coolify中集成CloudFlare，利用Coolify的自动证书功能，为coolify-proxy配置匹配通配符子域名的有效HTTPS证书。
   • 将隧道目标地址改为https://coolify-proxy:443，同时保持CloudFlare SSL模式为Full或Full(strict)，这样CloudFlare与coolify-proxy之间能完成合法的SSL握手，HTTPS访问正常且安全性更高。

3. 禁用资源单独的HTTPS配置
   由于CloudFlare Tunnel已经负责公网的SSL加密，Coolify内部资源只需用HTTP即可，无需单独配置HTTPS，避免双重SSL处理导致的冲突。

内容的提问来源于stack exchange，提问作者johnykes