TLS
TlsConfig 与 Certificate
Protos:
tls.proto—TlsConfigcertificate.proto—Certificate
设置在 TransportConfig.tls、MultiProxyInboundConfig.securityConfigs[].tls、Hysteria2 tlsConfig 以及 SplitHTTP downloadSettings.tls。
与 reality 互斥(同一传输块只能二选一)。
TlsConfig
rootCasbytes[]
自定义根 CA PEM(每项为一段 PEM 字节)
serverNamestring
SNI;拨号时默认等于目标域名
disableSystemRootbool
不使用系统根 CA
allowInsecurebool
跳过证书校验(客户端)
nextProtocolstring[]
ALPN 列表(如 h2、http/1.1)
enableSessionResumptionbool
启用 TLS 会话票证 / 恢复
pinnedPeerCertificateChainSha256bytes[]
固定对等体证书链 SHA-256 哈希(每项为 32 字节)
verifyClientCertificatebool
要求有效客户端证书(服务端)
imitatestring
uTLS 客户端指纹名称(如 chrome)
noSNIbool
不发送 SNI(uTLS)
masterKeyLogstring
NSS 密钥日志路径(调试)
echKeybytes
服务端 ECH 密钥
echConfigbytes
客户端 ECH 配置 blob
enableEchbool
客户端:启用 ECH
ForceALPN
TRANSPORT_PREFERENCE_TAKE_PRIORITY0
用户设置 ALPN 则用之,否则传输默认
NO_ALPN1
不发送 ALPN 扩展
UTLS_PRESET2
使用 uTLS 预设 ALPN
Certificate
证书与私钥可内联 PEM 字节,或通过文件路径加载(路径优先于内联)。
certificatebytes
PEM 证书字节
keybytes
PEM 私钥字节
certificateFilepathstring
证书文件路径
keyFilepathstring
私钥文件路径
{
"transport": {
"tcp": {},
"tls": {
"serverName": "example.com",
"certificates": [
{
"certificateFilepath": "/etc/vx/fullchain.pem",
"keyFilepath": "/etc/vx/privkey.pem"
}
],
"nextProtocol": ["h2", "http/1.1"]
}
}
}相关
- REALITY — 与 TLS 互斥的替代安全层
- WebSocket / gRPC — 常与 443 端口 TLS 配合
- VLESS Vision — 与 TLS 或 REALITY 的
flow