deploy(M00-E): 补充API域名HTTPS检查

deploy/README.md

@@ -36,6 +36,8 @@
 - 更新业务服务：克隆/检查固定仓库，生成 release manifest。正式后端/后台未生成前仅执行安全 dry-run。
 - EMQX：输出原生 Apt/无 Docker/MQTTX 禁止策略和本机命令状态。
 - HTTPS：输出固定域名、API 路径和 Nginx 配置检查。
+- Nginx：提供 `deploy/nginx/api.txyundm.cn.conf.template`，菜单第 4 项会检查模板、站点文件、TLS 和健康端点。
+- 非交互检查：`setup.sh --preflight`、`setup.sh --status`、`setup.sh --https`、`setup.sh --diagnose`。
 - 状态：显示部署上下文、快检、仓库状态和当前 release manifest。
 - 备份：当前生成 manifest-only 备份记录，不触碰真实数据库。
 - 恢复/回滚：列出人工输入和回滚点，不自动改动生产数据。

deploy/VERSION

@@ -1 +1 @@
-0.1.0-m00-deploy-baseline
+0.1.1-m00-domain-https-check

deploy/nginx/api.txyundm.cn.conf.template

@@ -0,0 +1,58 @@
+server {
+    listen 80;
+    server_name api.txyundm.cn;
+
+    location /.well-known/acme-challenge/ {
+        root /var/www/certbot;
+    }
+
+    location / {
+        return 301 https://$host$request_uri;
+    }
+}
+
+server {
+    listen 443 ssl http2;
+    server_name api.txyundm.cn;
+
+    ssl_certificate /etc/letsencrypt/live/api.txyundm.cn/fullchain.pem;
+    ssl_certificate_key /etc/letsencrypt/live/api.txyundm.cn/privkey.pem;
+
+    client_max_body_size 20m;
+
+    access_log /var/log/nginx/qipai-api.access.log;
+    error_log /var/log/nginx/qipai-api.error.log;
+
+    location /app-api/ {
+        proxy_pass http://127.0.0.1:3000/app-api/;
+        proxy_http_version 1.1;
+        proxy_set_header Host $host;
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto $scheme;
+    }
+
+    location /admin-api/ {
+        proxy_pass http://127.0.0.1:3000/admin-api/;
+        proxy_http_version 1.1;
+        proxy_set_header Host $host;
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto $scheme;
+    }
+
+    location /uploads/ {
+        alias /opt/apps/uploads/;
+        autoindex off;
+    }
+
+    location /admin/ {
+        alias /opt/apps/qipai-admin/dist/;
+        try_files $uri $uri/ /admin/index.html;
+    }
+
+    location = /health {
+        return 200 "ok\n";
+        add_header Content-Type text/plain;
+    }
+}

docs/api-domain-test-report.md

@@ -2,9 +2,9 @@
 
 | 环境 | 检查项 | 命令/步骤 | 期望 | 实际 | 结果 | 时间 |
 |---|---|---|---|---|---|---|
-| Windows | DNS/HTTPS | `check-api-domain.ps1` | PASS | 未执行 | - | - |
+| Windows | DNS/HTTPS | `scripts/dev/windows/check-api-domain.ps1` | PASS 或明确 WARN | 脚本已生成，待执行 | - | 2026-06-15 |
-| WSL | TLS/健康接口 | `check-api-domain.sh` | PASS | 未执行 | - | - |
+| WSL | TLS/健康接口 | `setup.sh --https` | PASS 或明确 WARN | DNS 已解析到 `101.42.38.246`；TLS 证书主题为 `CN=git.txyundm.cn`；`/health` 不可达 | WARN | 2026-06-15 |
-| Ubuntu | Nginx/证书/公开 API | `setup.sh` 环境检测 | PASS | 未执行 | - | - |
+| Ubuntu | Nginx/证书/公开 API | `setup.sh` 菜单 4 或 `setup.sh --https` | PASS 或明确 WARN | 检查脚本已生成，生产未执行 | - | 2026-06-15 |
 | 微信开发者工具 | request/upload/download | 关闭忽略合法域名 | 成功 | 未执行 | - | - |
 | 微信真机 | 登录/上传/下载/下单/开门 | 体验版 | 成功 | 未执行 | - | - |
 
@@ -17,5 +17,6 @@
 
 ## 问题与修复
 
-- 当前仅建立报告模板。
+- 已补充 Windows 域名检查脚本、Ubuntu 菜单第 4 项检查和 Nginx 模板。
-
+- 生产 DNS、证书、Nginx 启用和健康接口仍未完成，不能标记为通过。
+- `api.txyundm.cn` 当前解析正常，但证书和健康接口不满足 API 验收要求。

docs/deployment-changelog.md

@@ -1,5 +1,17 @@
 # 部署变更记录
 
+## 2026-06-15 / 0.1.1-m00-domain-https-check
+
+- 关联模块：M00-E
+- 关联 commit：本轮待提交
+- 变化内容：新增 `deploy/nginx/api.txyundm.cn.conf.template`、`scripts/setup/domain-https.sh`、`setup.sh --https` 和 Windows 域名检查脚本。
+- 配置变化：菜单第 4 项扩展为检查固定域名、Nginx 模板、站点启用状态、TLS 证书和健康端点。
+- 数据库变化：无。
+- 兼容性：仅增加检查和模板，不自动写入生产 Nginx，不申请证书。
+- 已执行验证：Windows 本地检查、敏感信息扫描、PowerShell 解析检查通过；WSL `bash -n`、`setup.sh --preflight/--status/--https/--diagnose` 通过，HTTPS 项返回 WARN。
+- 回滚方式：移除新增模板和检查脚本即可回到 0.1.0 行为；未改动生产环境。
+- 生产环境人工步骤：管理员在 Ubuntu 上安装证书后，按菜单提示复制 Nginx 模板并执行 `nginx -t` 与 reload。
+
 ## 2026-06-15 / 0.1.0-m00-deploy-baseline
 
 - 关联模块：M00

docs/deployment-status.md

@@ -2,7 +2,7 @@
 
 | 项目 | 当前值 |
 |---|---|
-| 菜单脚本版本 | 0.1.0-m00-deploy-baseline |
+| 菜单脚本版本 | 0.1.1-m00-domain-https-check |
 | Gitea 仓库 Web | https://git.txyundm.cn/panda/qipai.git |
 | API 固定域名 | https://api.txyundm.cn |
 | 小程序 API | https://api.txyundm.cn/app-api |
@@ -14,8 +14,8 @@
 | Gitea 仓库 SSH | ssh://git@git.txyundm.cn:2222/panda/qipai.git |
 | 生产拉取仓库 | ssh://git@127.0.0.1:2222/panda/qipai.git |
 | 默认分支 | main |
-| 最近模块 push commit | 远端 HEAD（M00-A/M00-B 基线） |
+| 最近模块 push commit | 远端 HEAD；本轮 M00-E 域名/HTTPS 检查待提交 |
-| 最近 push 远端校验 | 通过：`HEAD == origin/main` |
+| 最近 push 远端校验 | 上一轮通过：`HEAD == origin/main`；本轮待 push 后复验 |
 | 目标系统 | Ubuntu 24.04 |
 | 内核架构 | x86_64 |
 | DPKG 架构 | amd64 |
@@ -25,18 +25,18 @@
 | 命令行 MQTT 工具 | mosquitto-clients：未安装/未验证 |
 | Windows MQTTX 验证 | 未验证 |
 | WSL 环境验证 | 已完成轻量检查、shell 语法检查、临时副本准备和清理；完整构建待正式项目生成 |
-| 最近环境快检 | 2026-06-15 WSL 执行 `setup.sh --preflight/--status/--diagnose` 通过，WARN 项已记录 |
+| 最近环境快检 | 2026-06-15 WSL 执行 `setup.sh --preflight/--status/--https/--diagnose` 通过；HTTPS 检查返回证书/健康接口 WARN |
 | 最近部署后复检 | 未执行 |
-| 最近验证 commit | 远端 HEAD；M00-C 推送脚本语法检查通过 |
+| 最近验证 commit | 远端 HEAD；M00-C 推送脚本语法检查通过；M00-E 域名/HTTPS 检查待提交 |
 | 最近验证日期 | 2026-06-15 |
 | 已验证系统 | Ubuntu 24.04 / 未验证 |
 | 菜单 1 首次安装 | 脚本已实现目录布局；未在生产 Ubuntu 执行 |
 | 菜单 2 更新业务 | 脚本已实现仓库检查和 dry-run 发布清单；未在生产 Ubuntu 执行 |
 | 菜单 3 MQTT | 状态检查已实现；EMQX 安装未执行 |
-| 菜单 4 域名与 HTTPS | 状态检查已实现；证书申请/续期未执行 |
+| 菜单 4 域名与 HTTPS | 域名、Nginx 模板、站点启用、TLS 和健康端点检查已实现；当前线上证书为 `git.txyundm.cn`，证书申请/续期未执行 |
 | 菜单 5 状态 | 已实现 |
 | 菜单 6 备份 | manifest-only 已实现；真实备份待生产配置 |
 | 菜单 7 恢复 | 人工恢复提示已实现 |
 | 菜单 8 回滚 | 回滚点列表已实现；自动切换待正式 release |
 | 菜单 9 诊断 | 已实现 |
-| 已知限制 | 未执行生产部署；WSL 快检显示 Node/Nginx/PM2 缺失或未安装，生产 Ubuntu 需重新验证；正式后端/后台未生成前，业务构建为 dry-run。 |
+| 已知限制 | 未执行生产部署；WSL 快检可能显示 Node/Nginx/PM2 缺失或未安装，生产 Ubuntu 需重新验证；正式后端/后台未生成前，业务构建为 dry-run。 |

docs/devlogs/2026-06-15-M00-A-单仓库基线.md

@@ -12,6 +12,7 @@
 - 生成 `docs/reference-page-map.md`、`docs/db-schema-inventory.md` 和 `docs/reference-api-inventory.md` 作为可提交脱敏摘要。
 - 生成 `scripts/dev/windows/push-module.ps1` 和 `check-gitea-ssh.ps1`，串联模块检查、提交、推送和远端校验。
 - 生成 `scripts/setup/*.sh` 和新版 `setup.sh` 菜单，覆盖 `/opt/apps` 目录、仓库状态、dry-run 发布清单、备份 manifest、恢复/回滚提示和诊断。
+- 继续补强 M00-E，新增固定 API 域名 Nginx 模板、Ubuntu 菜单第 4 项域名/HTTPS 检查和 Windows 域名检查脚本。
 
 ## 起始状态
 
@@ -31,7 +32,7 @@
 
 ## 部署影响
 
-有。新增并升级 `setup.sh` 与 `scripts/setup/*.sh` 菜单式部署骨架，但未执行生产部署。
+有。新增并升级 `setup.sh` 与 `scripts/setup/*.sh` 菜单式部署骨架，补充 `api.txyundm.cn` Nginx 模板和域名/HTTPS 检查，但未执行生产部署。
 
 ## 测试记录
 
@@ -42,6 +43,7 @@
 - Windows 推送脚本：已新增，遇到 SSH 主机指纹问题时停止，不自动覆盖 `known_hosts`。
 - PowerShell 语法检查：`push-module.ps1`、`check-gitea-ssh.ps1` 均已通过 Parser 检查。
 - 部署脚本：WSL 已执行 `bash -n setup.sh scripts/setup/*.sh`、`setup.sh --preflight`、`setup.sh --status`、`setup.sh --diagnose`；输出 PASS/WARN，未执行生产写入。
+- 域名/HTTPS：新增菜单检查和 Windows 检查脚本；WSL `setup.sh --https` 显示 `api.txyundm.cn` 可解析到 `101.42.38.246`，但线上证书主题为 `CN=git.txyundm.cn` 且 `/health` 不可达，生产 DNS/证书/健康接口仍不得标记通过。
 - WSL 检查：已执行 `check-env.sh`、`check-workspace.sh`、`verify-linux.sh`、`prepare-test-copy.sh` 和 `cleanup-test-copy.sh`；临时副本创建和清理通过。完整 Linux 构建待正式后端/后台项目生成后执行。
 - Git fetch/push：首次多次失败后，`git push origin main` 已成功；随后 `git fetch origin main` 校验 `HEAD == origin/main` 通过。
 

docs/domain-https.md

@@ -11,24 +11,27 @@
 ## DNS
 
 - A/AAAA 记录：未验证
-- 当前服务器公网 IP：未验证
+- 当前服务器公网 IP：WSL 检查解析到 `101.42.38.246`
-- 最近验证时间：未验证
+- 最近验证时间：2026-06-15（WSL `setup.sh --https`）
 
 ## Nginx
 
-- 配置文件：待生成
+- 配置模板：`deploy/nginx/api.txyundm.cn.conf.template`
-- 配置备份：待生成
+- 生产配置目标：`/etc/nginx/sites-available/qipai-api.conf`
-- `nginx -t`：未执行
+- 启用目标：`/etc/nginx/sites-enabled/qipai-api.conf`
-- 路由检查：未执行
+- `nginx -t`：菜单第 4 项可执行；生产未验证
+- 路由检查：`/health`、`/app-api/`、`/admin-api/`、`/uploads/`、`/admin/` 已在模板中预留
 
 ## 证书
 
-- 签发机构：未验证
+- 签发机构：线上返回 Let's Encrypt `YE1`，但证书主题为 `CN=git.txyundm.cn`
-- SAN：未验证
+- SAN：未确认包含 `api.txyundm.cn`
-- 生效/到期：未验证
+- 生效/到期：线上返回 `2026-06-15` 到 `2026-09-13`，但不是已验收的 API 证书
-- 剩余天数：未验证
+- 剩余天数：未计算
 - 自动续期：未验证
 - 最近 dry-run：未执行
+- 现场检查：菜单第 4 项会尝试读取线上 TLS 证书；生产 DNS/证书未完成前允许 WARN
+- 当前问题：`api.txyundm.cn` 返回的证书不应视为 API 域名证书验收通过
 
 ## 微信合法域名
 
@@ -39,6 +42,5 @@
 
 ## 回滚
 
-- 上一个配置：无
+- 上一个配置：生产未安装
-- 恢复命令：待生成
+- 恢复方式：删除或恢复 `/etc/nginx/sites-available/qipai-api.conf`，重新执行 `nginx -t` 和 `systemctl reload nginx`
-

docs/external-dependencies.md

@@ -2,8 +2,7 @@
 
 | 编号 | 类型 | 功能 ID | 所需资料 | 当前状态 | Mock 是否完成 | 负责人/来源 | 下一步 |
 |---|---|---|---|---|---|---|---|
-| EXTDEP-001 | Gitea | SCM-001/OPS-002 | `ssh://git@git.txyundm.cn:2222/panda/qipai.git` 访问权限 | 待首次 push 验证 | 不适用 | 用户/Gitea | 首次提交后执行 push 与 `HEAD == origin/main` 校验。 |
+| EXTDEP-001 | Gitea | SCM-001/OPS-002 | `ssh://git@git.txyundm.cn:2222/panda/qipai.git` 访问权限 | 已通过 push 与远端校验；后续持续复检 | 不适用 | 用户/Gitea | 每个模块提交后继续执行 `HEAD == origin/main` 校验。 |
-| EXTDEP-002 | Ubuntu 服务器 | OPS-001/OPS-004/TLS-001 | Ubuntu 24.04 x86-64、域名、Nginx、证书权限 | 待生产人工执行 | 否 | 用户/服务器 | Codex 仅维护菜单脚本，不自动生产部署。 |
+| EXTDEP-002 | Ubuntu 服务器 | OPS-001/OPS-004/TLS-001 | Ubuntu 24.04 x86-64、域名、Nginx、证书权限 | 待生产人工执行；当前 `api.txyundm.cn` 线上证书仍显示 `git.txyundm.cn` | 否 | 用户/服务器 | Codex 仅维护菜单脚本，不自动生产部署；需管理员安装 API 证书和 Nginx 站点。 |
 | EXTDEP-003 | 硬件 | IOT-001 | EMQX 主机、控制箱、门锁、插座和厂商协议 | 待实机联调 | 否 | 用户/厂商 | 后续 M06 完成适配器和 Mock。 |
 | EXTDEP-004 | 微信平台 | WXNET-001 | 小程序 AppID、合法域名、真机体验权限 | 待提供/验证 | 否 | 用户/微信公众平台 | M08/M10 验证真机链路。 |
-

docs/feature-status.md

@@ -8,9 +8,9 @@
 | REF-001 | 参考资料完整纳管 | M00-A | PARTIAL | 本地 HEAD | 已生成哈希清单、脱敏日志、页面地图、接口线索和旧数据库结构清单；含秘密/依赖/真实数据风险的原始包和 SQL 已移出 Git 跟踪。 | 后续仍需按模块生成正式源码/迁移，旧 xjar 需大文件策略。 | 进入 M00-B/M00-C 前继续保持原包忽略和摘要可追溯。 |
 | SCM-001 | 模块完成即完整推送 | M00-B/M00-C | PARTIAL | 远端 HEAD | 首次 main push 成功，`HEAD == origin/main` 校验通过；推送脚本已生成。 | 后续模块仍需逐次执行并记录。 | 继续完善 M00-C 的 WSL 实际验证和脚本闭环。 |
 | WSL-001 | WSL 隔离辅助验证 | M00-C | PARTIAL | 本地 HEAD | WSL `check-env.sh`、`check-workspace.sh`、`verify-linux.sh`、`prepare-test-copy.sh`、`cleanup-test-copy.sh` 已执行通过；完整 Linux 依赖构建尚无正式项目可跑。 | 正式后端/后台尚未生成，无法执行完整 Linux 构建。 | M01/M09 生成项目后在 WSL 原生临时副本执行完整构建。 |
-| API-001 | 固定 HTTPS API 域名 | M00-E/M01/M08/M10 | TODO | - | - | DNS/HTTPS 生产验证未执行。 | 在部署脚本和代码中统一 `api.txyundm.cn`。 |
+| API-001 | 固定 HTTPS API 域名 | M00-E/M01/M08/M10 | PARTIAL | 本轮待提交 | 已新增 Windows 检查脚本、Ubuntu 菜单检查和固定域名 Nginx 模板。 | DNS/HTTPS 生产验证未执行，后端健康接口未生成。 | 后续接入真实后端健康接口并执行 Windows/WSL/Ubuntu/微信真机验证。 |
-| TLS-001 | Nginx 与证书自动化 | M00-E/M10 | TODO | - | - | DNS/80/443 生产验证未执行。 | 补菜单脚本和证书检查。 |
+| TLS-001 | Nginx 与证书自动化 | M00-E/M10 | PARTIAL | 本轮待提交 | 已生成 `deploy/nginx/api.txyundm.cn.conf.template`，菜单第 4 项可检查模板、站点启用、TLS 和健康端点。 | 证书申请/续期、80/443 生产验证未执行。 | 补证书申请/续期 dry-run 和生产 Nginx 安装记录。 |
-| WXNET-001 | 微信合法域名与真机验证 | M00-E/M08/M10 | TODO | - | - | 微信后台/真机未验证。 | 先完成检查报告模板。 |
+| WXNET-001 | 微信合法域名与真机验证 | M00-E/M08/M10 | TODO | - | 已补 API 域名报告入口，但未做微信后台或真机验证。 | 微信后台/真机未验证。 | 后续导入小程序后执行合法域名和真机验证。 |
 | OPS-001 | 固定 `/opt/apps` 目录 | M00-D/M10 | PARTIAL | 本地 HEAD | `scripts/setup/init-layout.sh` 已生成目录布局和 manifest；未在生产 Ubuntu 执行。 | 生产操作未执行。 | 由管理员在 Ubuntu 菜单执行并记录结果。 |
 | OPS-002 | 单仓库 Gitea 推送与拉取部署 | M00-B/M10 | PARTIAL | 远端 HEAD | Windows 到 Gitea `origin/main` 首次 push 与远端校验通过。 | 生产服务器只读拉取部署尚未验证。 | M00-D/M00-E 继续完善生产拉取、菜单部署和状态检查。 |
 | OPS-003 | 整仓发布清单 | M00-E/M10 | PARTIAL | 本地 HEAD | `deploy-business.sh` 可生成 dry-run release manifest；正式构建待项目生成。 | 后端/后台尚未生成。 | M01/M09 后接入真实构建结果。 |

docs/module-status.md

@@ -2,7 +2,7 @@
 
 | 模块 | 状态 | 最近提交 | 最近开发日志 | 备注 |
 |---|---|---|---|---|
-| M00 单仓库与服务器基础骨架 | PARTIAL | 远端 HEAD | docs/devlogs/2026-06-15-M00-A-单仓库基线.md | M00-A/M00-B 基线已推送并校验；M00-C/D/E 仍需继续完善。 |
+| M00 单仓库与服务器基础骨架 | PARTIAL | 远端 HEAD；本轮 M00-E 待提交 | docs/devlogs/2026-06-15-M00-A-单仓库基线.md | M00-A/M00-B 基线已推送并校验；M00-C/D/E 持续完善，域名/HTTPS 检查已补模板但生产未验证。 |
 | M01 后端 API 基础工程 | TODO | - | - | 等 M00 基线完成后开始。 |
 | M02 登录、租户、权限 | TODO | - | - | - |
 | M03 门店、房间、价格、营业时间 | TODO | - | - | - |

docs/release-manifest.md

@@ -10,3 +10,5 @@
 | 数据库迁移 | 未执行 |
 | 部署结果 | 未部署；生产需管理员人工执行菜单 |
 | 回滚点 | - |
+| Nginx 模板 | `deploy/nginx/api.txyundm.cn.conf.template` |
+| 域名/HTTPS 检查 | `setup.sh` 菜单 4、`scripts/dev/windows/check-api-domain.ps1` |

docs/repository-map.md

@@ -8,6 +8,7 @@
 | `miniapp/` | 微信原生小程序 | 必须提交源码，不提交本地缓存 |
 | `database/` | 数据库迁移和种子 | 必须提交脱敏 SQL |
 | `deploy/` | 部署版本和说明 | 必须提交 |
+| `deploy/nginx/` | API 域名 Nginx 模板 | 必须提交模板，不提交证书 |
 | `scripts/` | 检查、部署和运维脚本 | 必须提交 |
 | `docs/` | 状态、日志、变更和验收记录 | 必须提交 |
 | `docs/reference-page-map.md` | 旧小程序页面脱敏地图 | 必须提交 |

docs/unresolved-issues.md

@@ -6,3 +6,4 @@
 | ISSUE-002 | 2026-06-15 | M00/REF-001 | 参考压缩包已完成隔离初审，但尚未生成可迁移源码摘录。 | 中 | 已生成页面、接口和表结构脱敏摘要。 | 原包含依赖目录、旧域名或敏感配置。 | 后续按模块生成正式小程序/后端/后台代码，不直接复用原包。 | OPEN |
 | ISSUE-003 | 2026-06-15 | M00/SCM-001 | `git.txyundm.cn:2222` SSH 曾无法完成主机指纹确认和 push。 | 高 | 已保留本地提交并重试。 | 首次连接状态不稳定。 | 已成功 push 并校验 `HEAD == origin/main`；后续模块继续监测。 | RESOLVED |
 | ISSUE-004 | 2026-06-15 | M00/REF-001 | 多个原始参考包或 SQL 含秘密、依赖目录或旧业务数据，不能直接提交。 | 高 | 原包/原 SQL 移出 Git 跟踪并加入忽略；已生成脱敏页面、接口和表结构摘要。 | 参考资料未预先脱敏。 | 后续仅提交重新实现的正式源码、schema-only 迁移或脱敏摘录。 | OPEN |
+| ISSUE-005 | 2026-06-15 | M00-E/TLS-001 | `api.txyundm.cn` 已解析到 `101.42.38.246`，但 WSL 线上 TLS 检查返回证书主题 `CN=git.txyundm.cn`，且 `/health` 不可达。 | 高 | 菜单第 4 项已降级为 WARN 并记录状态，不标记 HTTPS 通过。 | 生产 Nginx/证书/API 健康接口尚未完成或仍复用 Gitea 证书。 | 在 Ubuntu 上安装 API 专用 Nginx 配置和 `api.txyundm.cn` 证书后复测。 | OPEN |

scripts/dev/windows/check-api-domain.ps1

@@ -0,0 +1,27 @@
+$ErrorActionPreference = "Stop"
+
+$Domain = "api.txyundm.cn"
+$Origin = "https://$Domain"
+$Paths = @(
+  "/health",
+  "/app-api/health",
+  "/admin-api/health"
+)
+
+Write-Host "INFO: checking DNS for $Domain"
+try {
+  Resolve-DnsName -Name $Domain -ErrorAction Stop | Select-Object -First 3 | Format-Table -AutoSize
+} catch {
+  Write-Warning "DNS check failed from Windows: $($_.Exception.Message)"
+}
+
+foreach ($Path in $Paths) {
+  $Url = "$Origin$Path"
+  Write-Host "INFO: probing $Url"
+  try {
+    $Response = Invoke-WebRequest -Uri $Url -Method Head -TimeoutSec 10 -ErrorAction Stop
+    Write-Host "PASS: $Url -> $($Response.StatusCode)"
+  } catch {
+    Write-Warning "HTTPS probe failed for ${Url}: $($_.Exception.Message)"
+  }
+}

scripts/setup/README.md

@@ -9,9 +9,10 @@
 | `init-layout.sh` | 创建 `/opt/apps` 目录布局并写入 `run/layout.json`。 |
 | `repo-status.sh` | 检查固定仓库、分支、DIRTY/AHEAD/BEHIND/DIVERGED 状态。 |
 | `deploy-business.sh` | 克隆/更新仓库并生成 dry-run release manifest。 |
+| `domain-https.sh` | 检查固定 API 域名、Nginx 模板、站点启用状态、TLS 和健康端点。 |
 | `backup.sh` | 生成 manifest-only 备份记录。 |
 | `restore.sh` | 输出人工恢复要求，不自动改动生产数据。 |
 | `rollback.sh` | 列出 release 回滚点。 |
 | `diagnose.sh` | 汇总快检、仓库、磁盘、服务和公开端点。 |
 
-M00 阶段脚本必须保持可重复执行和非破坏性。真实数据库、证书、EMQX ACL、Nginx 写入和 PM2 切换将在后续模块具备配置后继续补全。
+M00 阶段脚本必须保持可重复执行和非破坏性。真实数据库、证书、EMQX ACL、Nginx 自动写入和 PM2 切换将在后续模块具备配置后继续补全。

scripts/setup/domain-https.sh

@@ -0,0 +1,76 @@
+#!/usr/bin/env bash
+set -euo pipefail
+
+SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
+# shellcheck source=lib.sh
+. "${SCRIPT_DIR}/lib.sh"
+
+qipai_domain_https_status() {
+  local template_path nginx_available nginx_enabled
+  template_path="${SCRIPT_DIR}/../../deploy/nginx/api.txyundm.cn.conf.template"
+  nginx_available="/etc/nginx/sites-available/qipai-api.conf"
+  nginx_enabled="/etc/nginx/sites-enabled/qipai-api.conf"
+
+  qipai_info "domain: ${QIPAI_DOMAIN}"
+  qipai_info "origin: ${QIPAI_API_ORIGIN}"
+  qipai_info "app api: ${QIPAI_API_ORIGIN}/app-api"
+  qipai_info "admin api: ${QIPAI_API_ORIGIN}/admin-api"
+  qipai_info "nginx template: ${template_path}"
+  qipai_info "target nginx config: ${nginx_available}"
+
+  if [ -f "$template_path" ]; then
+    qipai_pass "nginx template exists"
+  else
+    qipai_warn "nginx template not found"
+  fi
+
+  if command -v getent >/dev/null 2>&1; then
+    if getent hosts "$QIPAI_DOMAIN" >/dev/null 2>&1; then
+      qipai_pass "DNS resolves for ${QIPAI_DOMAIN}"
+      getent hosts "$QIPAI_DOMAIN" | head -3
+    else
+      qipai_warn "DNS does not resolve from this host"
+    fi
+  else
+    qipai_warn "getent not available; DNS check skipped"
+  fi
+
+  if command -v nginx >/dev/null 2>&1; then
+    nginx -t && qipai_pass "nginx config test passed" || qipai_warn "nginx config test failed or requires production privileges"
+  else
+    qipai_warn "nginx not installed"
+  fi
+
+  if [ -f "$nginx_available" ]; then
+    qipai_pass "nginx site file exists: ${nginx_available}"
+  else
+    qipai_warn "nginx site file not installed yet"
+  fi
+
+  if [ -L "$nginx_enabled" ] || [ -f "$nginx_enabled" ]; then
+    qipai_pass "nginx site enabled: ${nginx_enabled}"
+  else
+    qipai_warn "nginx site not enabled yet"
+  fi
+
+  if command -v openssl >/dev/null 2>&1; then
+    qipai_info "TLS certificate live check:"
+    echo | openssl s_client -servername "$QIPAI_DOMAIN" -connect "${QIPAI_DOMAIN}:443" 2>/dev/null | openssl x509 -noout -subject -issuer -dates 2>/dev/null || qipai_warn "live TLS certificate not reachable"
+  else
+    qipai_warn "openssl not installed"
+  fi
+
+  if command -v curl >/dev/null 2>&1; then
+    qipai_info "health probe: ${QIPAI_API_ORIGIN}/health"
+    curl -fsSIL --max-time 10 "${QIPAI_API_ORIGIN}/health" >/dev/null 2>&1 && qipai_pass "HTTPS health endpoint reachable" || qipai_warn "HTTPS health endpoint not reachable"
+  else
+    qipai_warn "curl not installed"
+  fi
+
+  qipai_info "manual install command after certificate is ready:"
+  qipai_info "sudo install -m 0644 ${template_path} ${nginx_available} && sudo ln -sfn ${nginx_available} ${nginx_enabled} && sudo nginx -t && sudo systemctl reload nginx"
+}
+
+if [ "${1:-}" = "--run" ]; then
+  qipai_domain_https_status
+fi

scripts/setup/lib.sh

@@ -1,7 +1,7 @@
 #!/usr/bin/env bash
 set -euo pipefail
 
-QIPAI_DEPLOY_VERSION="${QIPAI_DEPLOY_VERSION:-0.1.0-m00-deploy-baseline}"
+QIPAI_DEPLOY_VERSION="${QIPAI_DEPLOY_VERSION:-0.1.1-m00-domain-https-check}"
 APP_ROOT="${APP_ROOT:-/opt/apps}"
 QIPAI_REPO_URL="${QIPAI_REPO_URL:-ssh://git@127.0.0.1:2222/panda/qipai.git}"
 QIPAI_PUBLIC_REPO_URL="${QIPAI_PUBLIC_REPO_URL:-ssh://git@git.txyundm.cn:2222/panda/qipai.git}"
@@ -90,4 +90,3 @@ qipai_print_context() {
   qipai_info "branch: ${QIPAI_BRANCH}"
   qipai_info "api origin: ${QIPAI_API_ORIGIN}"
 }
-

setup.sh

@@ -14,6 +14,8 @@ SETUP_DIR="${SCRIPT_DIR}/scripts/setup"
 . "${SETUP_DIR}/repo-status.sh"
 # shellcheck source=scripts/setup/deploy-business.sh
 . "${SETUP_DIR}/deploy-business.sh"
+# shellcheck source=scripts/setup/domain-https.sh
+. "${SETUP_DIR}/domain-https.sh"
 # shellcheck source=scripts/setup/backup.sh
 . "${SETUP_DIR}/backup.sh"
 # shellcheck source=scripts/setup/restore.sh
@@ -75,18 +77,7 @@ show_mqtt_status() {
 }
 
 show_https_status() {
-  qipai_info "domain: ${QIPAI_DOMAIN}"
+  qipai_domain_https_status
-  qipai_info "origin: ${QIPAI_API_ORIGIN}"
-  qipai_info "app api: ${QIPAI_API_ORIGIN}/app-api"
-  qipai_info "admin api: ${QIPAI_API_ORIGIN}/admin-api"
-  if command -v nginx >/dev/null 2>&1; then
-    nginx -t
-  else
-    qipai_warn "nginx not installed"
-  fi
-  if command -v openssl >/dev/null 2>&1; then
-    qipai_info "TLS live check requires public DNS/network and is not forced in M00"
-  fi
 }
 
 main_menu() {
@@ -125,9 +116,10 @@ if [ "${1:-}" = "--preflight" ]; then
   qipai_preflight
 elif [ "${1:-}" = "--status" ]; then
   show_status
+elif [ "${1:-}" = "--https" ]; then
+  show_https_status
 elif [ "${1:-}" = "--diagnose" ]; then
   qipai_diagnose
 else
   main_menu "$@"
 fi
-