Hysteria项目中使用IP地址建立TLS连接的配置指南

在Hysteria的实际部署中，有时会遇到需要使用IP地址直接建立TLS连接的情况。本文将详细介绍如何正确配置Hysteria客户端以IP地址连接服务端，并解析其中的技术要点。

TLS连接的基本原理

当使用TLS加密通信时，客户端需要验证服务端的身份。传统方式是通过域名验证，由CA机构颁发的证书会绑定特定域名。但在某些场景下，用户可能需要直接使用IP地址进行连接，这就涉及以下两种特殊情况：

1. 证书绑定的是域名，但客户端使用IP连接
2. 证书直接绑定IP地址（较少见）

配置方案详解

情况一：证书绑定域名但使用IP连接

当服务端证书绑定的是域名而非IP时，客户端配置需要特别注意SNI(Server Name Indication)的指定：

server: 192.168.1.100:443  # 使用IP地址和端口

tls:
  sni: example.com  # 证书绑定的实际域名

关键点：

• server字段填写服务端的实际IP地址
• sni字段必须填写证书中绑定的准确域名
• 如果使用可信CA颁发的证书，无需额外配置CA证书

情况二：证书直接绑定IP地址

如果证书是直接为IP地址颁发的（较少见），配置更为简单：

server: 192.168.1.100:443

tls:
  # 无需sni字段

证书验证的注意事项

1. 可信CA证书：如果使用Let's Encrypt等公共CA颁发的证书，客户端会自动信任，无需额外配置

2. 自签名证书：需要指定CA证书路径

   tls:
     ca: /path/to/ca.crt
   

3. 跳过验证（不推荐）：仅限测试环境使用

   tls:
     insecure: true
   

常见问题排查

如果连接失败，建议检查：

1. 确认服务端证书实际绑定的名称（域名或IP）
2. 检查客户端配置中的SNI是否与证书一致
3. 验证网络设置是否放行了指定端口
4. 检查服务端是否确实监听在指定IP和端口上

通过正确理解TLS验证机制和合理配置，可以确保Hysteria在各种网络环境下都能建立安全可靠的连接。对于生产环境，建议优先使用域名配置，这符合互联网安全最佳实践。