前言

在上一篇文章中，我们了解了服务器的多种用途，其中最吸引我的，莫过于搭建一个完全由自己掌控的密码管理器。它不仅能将我们从记忆无数复杂密码的痛苦中解放出来，更能将我们最核心的数字资产——“钥匙”，牢牢掌握在自己手中。

我们选择的项目是Vaultwarden，一个兼容官方Bitwarden客户端的、用Rust语言编写的轻量级开源实现。而部署它的最佳工具，则是Docker。对于初学者来说，你只需要知道，Docker就像一个“应用集装箱”，能把程序和它的运行环境完美打包，干净、独立、不污染你的服务器系统，是现代服务器运维的必学技能。

第一步：准备工作

1. 安装Docker: 登录你的宝塔面板，进入“软件商店”，搜索并安装“Docker管理器”。宝塔会自动为我们处理好一切。
2. 准备域名: 你需要为密码库准备一个专属的二级域名，这对于后续配置HTTPS加密访问至关重要。请登录你的域名服务商后台，添加一条A记录，将子域名（例如 vault.yourdomain.com）指向你的服务器IP地址（your_server_ip）。

第二步：运行Vaultwarden容器

请通过SSH登录到你的服务器，然后执行以下命令。这行命令虽然长，但它包含了启动服务所需的所有信息。

docker run -d \
--name vaultwarden \
-v /www/wwwroot/vaultwarden/:/data/ \
-p 8088:80 \
--restart always \
vaultwarden/server:latest

我们来解读一下这行“咒语”：

• -d: 让容器在后台（Detached mode）运行。
• --name vaultwarden: 给这个容器起个名字，方便我们管理。
• -v /www/wwwroot/vaultwarden/:/data/: 这是最关键的一步，它将服务器本地的/www/wwwroot/vaultwarden/文件夹，映射到容器内部的/data文件夹。这样，你所有的密码数据都会保存在服务器本地，即使容器被删除，数据也不会丢失。
• -p 8088:80: 将服务器的8088端口，映射到容器内部的80端口。这意味着，我们现在可以通过 http://your_server_ip:8088 来访问这个服务。
• --restart always: 设置容器开机自启，确保服务器重启后服务也能自动恢复。

容器启动后，激动人心的时刻到了。但当你访问 http://your_server_ip:8088 时，很可能会遇到第一个大坑。

踩坑预警 #1：页面“无限转圈”，无法加载登录框

• 症状: 你能看到Vaultwarden的Logo，但页面中央的加载动画永远在转，无法进入注册或登录界面。
• 错误思路: 我一开始也以为是服务器性能问题，或者是容器内部出错了。但通过docker logs vaultwarden命令查看日志，发现日志完全正常，显示服务已成功启动。
• 根本原因: 现代浏览器有一个严格的安全策略，网页的高级加密功能(Web Crypto API)——这正是密码管理器所依赖的核心技术——只能在“安全环境”下使用。所谓的“安全环境”，通常指通过https://协议或localhost访问的页面。我们通过http://公网IP的方式访问，属于“不安全环境”，浏览器因此主动禁用了加密功能，导致程序初始化失败而卡死。
• 解决方案: 放弃直接用IP访问。我们必须通过域名，并配置SSL证书，使用https://来访问。这自然引出了我们的下一步。

第三步：配置反向代理与HTTPS

这一步的目标，就是让我们能通过 https://vault.yourdomain.com 这个既专业又安全的地址来访问服务。

1. 创建站点: 在宝塔面板中，添加一个新站点，域名填写你准备好的vault.yourdomain.com，选择“纯静态”模式，不创建数据库。
2. 设置反向代理: 进入该站点的“设置”，在“反向代理”中添加一条规则，目标URL填写 http://127.0.0.1:8088。这步操作的意思是，告诉服务器，当有人通过域名访问时，请把请求转交给在8088端口上待命的Vaultwarden容器来处理。
3. 申请SSL证书: 在站点的“SSL”设置中，选择“Let’s Encrypt”标签页，为你的域名申请一个免费的SSL证书。
4. 强制HTTPS: 证书申请成功后，务必开启右上角的“强制HTTPS”开关。

踩坑预警 #2：客户端登录提示“密码无效”

• 症状: 你在自己的网站 https://vault.yourdomain.com 上成功注册了账号，但在浏览器插件或手机App里用完全正确的密码登录，却提示“用户名或密码无效”。
• 错误思路: 以为是自己记错了密码，或者服务没搭建好。
• 根本原因: 官方的Bitwarden客户端，默认连接的是官方的bitwarden.com服务器。你拿着在“自己银行”办的卡，去“官方银行”的ATM机上，自然是不认的。
• 解决方案: 在每个客户端的登录界面，都需要先进行一步“服务器设置”。通常是在登录按钮附近，找到一个设置图标(⚙️)，或者一个显示“正在访问: bitwarden.com”的下拉菜单。点击它，选择“自托管(Self-hosted)”，然后在服务器URL处填入你自己的域名：https://vault.yourdomain.com。保存后，再登录即可。

结语

恭喜你！通过以上步骤，你已经拥有了一个完全私有、安全可靠、全平台通用的密码库。将自己的数字钥匙掌握在手中，这种安心感是任何商业服务都无法比拟的。在下一篇中，我们将探讨一个进阶话题：如何诊断并优化我们这个服务的访问速度，以及如何建立一套完善的备份机制，确保数据万无一失。