2026 OpenClaw Gateway | onboard 向導、doctor／fix、Nginx／Caddy HTTPS 反代與回滾

把 OpenClaw Gateway 放上 Linux 雲主機時，最常見的失敗不是「程式沒跑起來」，而是監聽位址、權杖檔路徑與反代層的假設彼此打架：本機 curl 正常、換成網域名稱就 502，多半是 Host／X-Forwarded-Proto 沒帶齊。若你剛完成安裝與防火牆校驗，可先對照我們先前的 Linux 部署筆記把基底環境收斂，再進入 Gateway 專屬步驟。延伸閱讀：2026 OpenClaw Linux 雲主機部署實操：curl 安裝 vs Docker 對比、環境校驗與常見報錯 FAQ。

TLS

建議在邊界終止

doctor → fix 閉環

可復現回滾包

`openclaw onboard`：把「可連線」變成「可對外承諾」

向導的核心價值是把互動回答映射成之後 `doctor` 會檢查的同一組假設：公開 FQDN、是否由 Nginx／Caddy 終止 TLS、後端實際監聽的位址與埠、systemd 日誌目錄與執行使用者的寫入權限。建議在問答階段就固定「只允許本機回環 + 反代」或「容器 bridge + 反代」其中一種模型，避免上線後又把 Gateway 直接綁到 0.0.0.0。

憑證與權杖：權杖檔權限過寬會被向導提示；請用專用系統帳號與 600／640 之類的最小權限。
時間與 DNS：Let’s Encrypt 與部分 OAuth 流程對時鐘漂移極敏感，先確認 chrony／systemd-timesyncd 正常。
稽核出口：雲廠商安全組預設可能攔 WebSocket 升級標頭，向導若偵測到會建議改走固定長連或調整邊界規則。

`openclaw doctor` 與 `openclaw fix`：把日誌變成可執行修復

上線後請把 `doctor` 當成「發版前 gate」：`fix` 能自動處理的多半是權限、缺目錄、範本欄位回填這類機械問題；涉及憑證鏈、上游 API 配額或防火牆策略時，`doctor` 會輸出可貼進工單的上下文片段。實務上我們會把 journalctl 片段與 `doctor` 摘要放在同一則變更紀錄裡，讓回滾決策只看一屏敘述就能下結論。

小抄

先跑只讀檢查，再決定是否套用自動修復；若版本差異導致旗標不同，請以當前 CLI 的 `--help` 與互動提示為準。

Nginx／Caddy：HTTPS 反代與 WebSocket 要點

以下範例把 TLS 終止在邊界，後端假設監聽 127.0.0.1:18789（請替換為你環境實際埠）。重點是帶齊 Host、X-Forwarded-For、X-Forwarded-Proto，並為升級連線保留標頭。

Nginx（站點片段）

# /etc/nginx/sites-available/openclaw.conf（示意）
server {
  listen 443 ssl http2;
  server_name claw.example.com;

  location / {
    proxy_pass http://127.0.0.1:18789;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
  }
}

Caddy（單檔示意）

claw.example.com {
  reverse_proxy 127.0.0.1:18789
}

若你同時把 OpenClaw 當成 MCP Server 接到 IDE，權杖與白名單邊界要與 Gateway 分層管理，避免「一組密鑰打通所有工具面」。可參考：2026 OpenClaw 作為 MCP Server 接入開發工作流：從 openclaw mcp serve 到令牌鑑權、工具白名單與會話隔離的落地步驟與 FAQ。

升級與回滾：讓「可復現」真的可執行

升級前請打包三樣東西：當前二進位或容器映像 digest、完整設定目錄 tarball、以及最近一次 `doctor` 全綠的輸出。回滾時先停服務、還原設定、再還原二進位，最後用反代快取清理（若有）避免舊錯誤頁被邊緣節點夾住。對於需要零停機的團隊，可採藍綠兩組 systemd unit，用 health check 切流量；小團隊維持「單機 + 明確維護視窗」通常更省認知負擔。

現象	優先檢查	常見解法
瀏覽器 502／反代超時	後端埠、SELinux／AppArmor、本機防火牆	確認反代 upstream 與實際監聽一致；暫時關閉雲安全組自測
憑證更新後仍報錯	完整鏈、中間憑證、系統時鐘	用 openssl s_client 驗證鏈；校時後重載反代
WebSocket 斷線	Upgrade／Connection 標頭、CDN 預設策略	在反代顯式透傳；必要時繞過會剝標頭的 CDN 規則

FAQ 心法

任何「本機 OK、網域不行」的問題，九成可以先畫一條 Client → 443 反代 → 本機回環 → Gateway 的鏈路，逐段 tcpdump／curl -v 對照標頭，比盲目升級版本更快止血。

`openclaw onboard`：把「可連線」變成「可對外承諾」

`openclaw doctor` 與 `openclaw fix`：把日誌變成可執行修復

Nginx／Caddy：HTTPS 反代與 WebSocket 要點

升級與回滾：讓「可復現」真的可執行

在雲端 Mac mini 上，邊界服務與開發節奏更一致

把 Gateway 上線，也把 HTTPS 與回滾寫進習慣