Hysteria2 服务端自签证书 客户端指定证书

点击标签看相关主题:

前言

最近翻墙圈的氛围是研究服务端自签证书时, 客户端最好固定证书以避免中间人攻击.


理论支持

Hysteria2文档

Hysteria2 服务端

问GPT, 计算证书的sha256
openssl dgst -sha256 certificate.crt
所以我的就是
openssl dgst -sha256 /etc/ssl/private/learn.microsoft.com.crt
得到
SHA2-256(/etc/ssl/private/learn.microsoft.com.crt)= a178a313215bd1db5f0256a7f56b23e97f00c2f89a7a47e42e36ad67e820131d

Hysteria2 客户端

配置文件照着上面文档说的来, 就是
server: 服务.端.IP.地址:服务端口

auth: 密码

socks5:
  listen: 127.0.0.1:20888

http:
  listen: 127.0.0.1:20889

tls:
  insecure: true
  pinSHA256: a178a313215bd1db5f0256a7f56b23e97f00c2f89a7a47e42e36ad67e820131d

命令行跑一下试试.
报错
PS D:\GFW\hy2> .\hysteria-windows-amd64.exe
2025-11-10T12:24:22+08:00       INFO    client mode
2025-11-10T12:24:23+08:00       FATAL   failed to initialize client     {"error": "connect error: CRYPTO_ERROR 0x12a (local): no certificate matches the pinned hash"}

把上面的操作过程向GPT描述一遍, 给了一些解决方案, 不行.

分析

那么, 我们从源码入手.
打开 hy2 源码
https://github.dev/apernet/hysteria
* 对, 就是把 github.com 改为 .dev
搜刚刚日志中的关键字 no certificate matches the pinned hash 找到

再把源代码复制粘贴去问GPT.

GPT 给了新的方案

再试试

服务端
openssl x509 -in /etc/ssl/private/learn.microsoft.com.crt -outform DER | sha256sum

得到 

7fa7582952b83b182759a037b69feb3bb19b59865304e70c7817fddde7fbf643  -

修改客户端配置文件
server: 服务.端.IP.地址:服务端口

auth: 密码

socks5:
  listen: 127.0.0.1:20888

http:
  listen: 127.0.0.1:20889

tls:
  insecure: true
  pinSHA256: 7fa7582952b83b182759a037b69feb3bb19b59865304e70c7817fddde7fbf643

就能正常跑起来了.

结论

服务端用
openssl x509 -in  certificate.crt -outform DER | sha256sum
生成 pinSHA256

========

后记

也许本来就知道是怎么一回事的人看起来我显得很"蠢", 连这点常识都不知道.
但, 我把这个过程记录下来, 是想让和我一样"小白"的读者看到, 用简单的工具和操作(浏览器, 命令行, 日志, 复制粘贴, GPT), 是可以解决问题的.

修改 极简一键脚本 就简单了, 已更新 

客户端 shadowrocket 已支持. 然后我就看到了应该使用的命令. 哈哈
openssl x509 -noout -fingerprint -sha256 -in your_cert.crt



评论

发表评论

The Hot3 in Last 30 Days

酒馆SillyTavern 玩英文角色卡 也能以中文输出 设置世界书Lorebooks

图片
之前 我们实现了 让酒馆SillyTavern输出中文 . 不过, 我们在寻找/试用角色卡的时候, 常常要试用大量的角色卡, 而有些角色卡你说上一两句话就不想继续用了. 如果每个角色卡都那样操作一遍输出中文的话, 会觉得有点麻烦. 那么, 有没有什么方法可以设置一次, 就应用到每一个角色卡呢? 我们可以使用 世界书Lorebooks 这个功能. 在酒馆界面中, 点击 世界书 - 新建 随便用一个你喜欢的名字 * 这个名字只是为了方便管理. 不影响最终效果. 这时, 你应该看到刚刚新建的世界书被选中. (如果不是, 需要你在下拉菜单中选择) 然后 点击 右边的 新条目 按钮 设定这个新条目 1. 条目的标题, 随便设置什么. * 这个标题只是为了方便管理, 不影响最终效果. 2. 触发策略, 设置为 蓝色 * 意思是, 不需要关键词触发. 3. 插入位置, 设置为"角色定义前" * 如果效果不好, 可以试着改为 "角色定义后" 4. 展开条目设定 5. 设置条目的内容为 {{char}}用中文输出全部信息, 包括语言和场景描述. {{char}}输出内容中不要有大段的非中文内容. 现在, 设置你的全局世界书为你刚刚新建的这个世界书. 然后试着和你的新添加的角色卡对话看看? 我们来看看命令行里实际发生了什么. 对比 之前的方案 , 可以看到命令行日志中的效果是一样的, 也就是说, 发送给AI的格式是一样的. ======== 未完待续
Read more »

搭 Docker版 Sub-Store订阅转换专家 带 http-meta 实现 集合订阅 测延迟 排序 筛选 生成新订阅 定时任务上传Gist

图片
需求 https://github.com/2dust/v2rayN/issues/4247/ 有人希望在 v2rayN 中添加自动测延迟, 再自动切换服务器的功能. 我觉得, 如果节点很多(比如到处搜集免费节点的人, 节点总数有可能成千上万), 那么这个测速+筛选的工作不应该由翻墙客户端来做, 应该由一个单独的实体来做. 我找了一圈信息, 最终决定用 Sub-Store 完成这个任务. 搭 Docke版 Sub-Store 教程  https://surge.tel/22/2953/ Docker镜像的说明 https://hub.docker.com/r/xream/sub-store 我也记录一下自己的操作 安装 Docker curl -fsSL https://get.docker.com | bash -s docker  运行 Sub-Store 镜像 docker run -it -d --restart=always -e "SUB_STORE_BACKEND_SYNC_CRON= 55 23 * * * " -e SUB_STORE_FRONTEND_BACKEND_PATH=/ TQg8veJHzYt38utxXtav  -p 127.0.0.1:3001:3001 -v /root/sub-store-data:/opt/app/data --name sub-store xream/sub-store:http-meta * 其中,  TQg8veJHzYt38utxXtav  是你的后端API秘密路径, 你应该自己生成一个随机的, 足够长的字符串, 不要直接使用我的这个. 55 23 * * *  表示同步任务每天 23:55 执行. 如果你想每小时的第55分钟执行一次, 那么使用  55 * * * *   你可以 查看 docker 的运行状态, 确认sub-store运行起来了. docker stats * 如果你是在自己的 电脑 上面搭, 那么, Docker环境用你自己习惯的方式. 需要注意, 镜像为  xream/sub-store:http-meta 如果没带上 http-meta 那么镜像中就没有 http-meta, 那么就不能测速...
Read more »