jonssonyan
commented
1 month ago 这个是客户端的配置,hui不需要做任何改变
Closed liuxyon closed 2 weeks ago
jonssonyan
commented
1 month ago 这个是客户端的配置,hui不需要做任何改变
liuxyon
commented
1 month ago 我的意思是输出客户端配置时将证书指纹或 ca 内容加上. 另外使用自定义证书不要默认加 允许不安全连接
liuxyon
commented
1 month ago 客户端如何在设置仅允许安全连接时候能够连接到服务器?
jonssonyan
commented
1 month ago 客户端如何在设置仅允许安全连接时候能够连接到服务器?
应该是这个。tls.insecure https://hysteria.network/zh/docs/advanced/Full-Client-Config/
jonssonyan
commented
1 month ago 我的意思是输出客户端配置时将证书指纹或 ca 内容加上. 另外使用自定义证书不要默认加 允许不安全连接
服务端只能输出一种通用的配置,并不是所有人都需要 ca,不然只能在生成节点URL/订阅URL时候给用户选择
liuxyon
commented
1 month ago 起码增加安全选项配置,明文实在是经常断流. 必须要你服务器端要支持tls.insecure 配置,而且能输出配置给客户端证书指纹或者ca
jonssonyan
commented
4 weeks ago 起码增加安全选项配置,明文实在是经常断流. 必须要你服务器端要支持tls.insecure 配置,而且能输出配置给客户端证书指纹或者ca
hysteria 服务端不支持tls.insecure的配置,翻一翻文档,https://v2.hysteria.network/zh/docs/advanced/Full-Server-Config/#tls 面板只能生成客户端的配置,但是不能写死返回tls.insecure和tls.ca,不是每个人都是必须的
nicelic
commented
4 weeks ago 需要一个域名,子域名解析到服务器ip,使用这个域名申请正规证书(自定义或者ui里面操作),生成订阅链接,软件订阅后需要把服务器ip换成你的那个域名。和以前一样,只是证书得“合法”化,ip改域名
nicelic
commented
4 weeks ago 需要一个域名,子域名解析到服务器ip,使用这个域名申请正规证书(自定义或者ui里面操作),生成订阅链接,软件订阅后需要把服务器ip换成你的那个域名。和以前一样,只是证书得“合法”化,ip改域名
但是现在,握手时会暴露你的域名了。 2.5.1时ip对ip,握手没有显示域名或ip,现在默认握手Client Hello会显示你的域名了。 udp本来就容易被针对,现在此quic不是代理。
nicelic
commented
4 weeks ago 需要一个域名,子域名解析到服务器ip,使用这个域名申请正规证书(自定义或者ui里面操作),生成订阅链接,软件订阅后需要把服务器ip换成你的那个域名。和以前一样,只是证书得“合法”化,ip改域名
但是现在,握手时会暴露你的域名了。 2.5.1时ip对ip,握手没有显示域名或ip,现在默认握手Client Hello会显示你的域名了。 udp本来就容易被针对,现在此quic不是代理。
自签ip证书,就没有sni问题了。
如果使用自定义证书, 在输出到客户端的连接或二维码中添加上 可以使用 openssl 获取你证书的指纹:openssl x509 -noout -fingerprint -sha256 -in your_cert.crt 或者加上CA的证书内容. 这样可以保证自定义证书的安全而且方便. 不用定期更换证书.
tls: ca: ca.crt
https://hysteria.network/zh/docs/getting-started/Client/#__tabbed_1_1