TLS ko - FrankoonG/hy2scale GitHub Wiki

🌐 English | 中文 | 한국어

TLS 인증서 관리

HY2 SCALE은 Hysteria 2, 웹 UI, IKEv2 MSCHAPv2가 필요로 하는 인증서를 다루는 작은 PKI UI를 제공합니다.

TLS 페이지

인증서 저장

인증서는 /data/tls/ 아래에 저장됩니다:

/data/tls/
├── default.crt     # PEM 인증서
├── default.key     # 개인키
└── default.name    # 표시 이름

각 인증서는 {id}.crt, {id}.key, {id}.name 삼중 세트입니다.

기본 인증서

최초 부팅 시 자체 서명 인증서가 자동 생성됩니다:

ID — default
알고리즘 — ECDSA P-256
유효 기간 — 10년
CN/SAN — 노드 ID + 파생 도메인

Hysteria 2 QUIC 서버는 기본적으로 이 인증서를 사용합니다. 언제든 교체할 수 있습니다.

작업

TLS 표는 HY2 SCALE 공용의 「먼저 선택, 그다음 작업」 패턴을 따릅니다: 인증서 행을 단일 클릭해 단일 선택한 뒤, 카드 우상단의 녹색 Edit 버튼 (Bulk Delete와 + New 사이)을 사용하세요. 카드 본문 바깥 — 페이지 헤딩, 카드 헤더 — 어디든 클릭하면 단일 행 선택이 해제됩니다 (다중 선택은 유지). 앞쪽 체크박스 셀은 작은 입력만이 아니라 패딩이 적용된 영역 전체가 클릭 영역입니다.

생성

+ New를 클릭해 항목을 채웁니다:

필드	설명
이름	표시 이름
도메인	Subject Alternative Name (쉼표 구분)
일수	유효 기간 (기본 3650)
CA	체크하면 CA 인증서를 생성

생성된 인증서는 랜덤 128비트 시리얼과 ECDSA P-256을 사용합니다.

PEM 가져오기

PEM 텍스트로 인증서와 개인키를 붙여 넣습니다.

경로에서 가져오기

디스크의 기존 파일 (/etc/letsencrypt/live/example.com/fullchain.pem 등)을 UI에 지정합니다. 파일은 /data/tls/로 복사되며, 이후 원본 변경은 추적되지 않습니다.

CA로 서명

목록에 CA 인증서가 있다면 Sign을 사용합니다: 서명자를 선택하고 subject CN 및 SAN을 입력하고 유효 기간을 설정하면, 부모로 연결되는 CA 배지와 함께 새 리프 인증서가 나타납니다.

내보내기

각 인증서의 PEM 버튼이 해당 인증서를 스트리밍하여 반환합니다.

삭제

경고 — Hysteria 2, HTTPS, IKEv2에서 현재 사용 중인 인증서를 다른 인증서로 먼저 전환하지 않고 삭제하지 마세요. 사용 중인 인증서를 삭제하면 재설정 전까지 서비스가 중단됩니다.

인증서 사용처

서비스	역할
Hysteria 2	필수 — QUIC TLS
웹 UI HTTPS	선택 — `/scale`에 대한 HTTPS
IKEv2 MSCHAPv2	필수 — 서버가 클라이언트에 자신을 인증

Hysteria 2

기본 자체 서명 인증서는 메시 릴레이에 사용 가능합니다 (피어가 insecure: true를 설정하거나 ca로 인증서를 고정). 공개 Hysteria 2 클라이언트용으로는 Let's Encrypt나 자체 CA의 실제 인증서로 교체하세요.

HTTPS 웹 UI

설정 → Web → HTTPS에서 인증서를 선택하세요. 이후 HTTP 요청은 HTTPS로 리디렉트됩니다.

IKEv2 MSCHAPv2 — CA 워크플로

MSCHAPv2는 클라이언트가 신뢰할 수 있는 서버 인증서가 필요합니다. 권장 흐름:

CA 인증서를 Generate합니다 (CA 체크박스 선택).
Proxies → IKEv2/IPsec에서 서버 인증서 선택기로 CA를 선택합니다.
시작 시 HY2 SCALE이 CN/SAN이 local_id와 일치하는 서버 인증서를 CA로 자동 서명합니다. 서명 알고리즘은 최대 클라이언트 호환성 (iOS / macOS / Windows / Android)을 위해 RSA-2048입니다.
CA 인증서를 내보내 모든 클라이언트 기기에 설치합니다.
이후 클라이언트는 서버를 신뢰하고 HY2 SCALE 사용자명 + 비밀번호로 인증합니다.

CA 인증서 한눈에 보기

CA 인증서는 목록에 CA 배지를 표시합니다. 리프 인증서는 서명자 이름을 표시합니다. PKI를 사용해:

IKEv2 서버 인증서를 자동 서명
다른 내부 서비스용 하위 인증서 서명
외부 의존성 없이 소규모 메시 전체 PKI 구축