ansible-proxy/openspec/changes/archive/2026-04-29-allow-http-port-for-certbot/proposal.md

Why

certbot standalone 模式使用 ACME HTTP-01 验证，需要外部能访问服务器的 80 端口。当前 base role 配置 UFW 默认拒绝所有入站流量，仅允许 SSH 端口；trojan role 也只开放了 443 端口。这导致 certbot 无法通过 80 端口完成域名验证，证书申请失败。

What Changes

• 在 trojan role 中 certbot 证书申请之前，通过 UFW 允许 80 端口入站
• 保留 80 端口开放，HTTP 流量是正常的服务暴露

Capabilities

New Capabilities

• 无新增能力

Modified Capabilities

• trojan-multiuser: TLS 证书申请流程中增加 80 端口 UFW 放行步骤，确保 certbot 能够完成 ACME 验证。

Impact

• roles/trojan/tasks/main.yml 中 certbot 步骤前增加 UFW 允许 80 端口的任务