查看“︁如何使用gost搭建HTTPS代理”︁的源代码

有时候, 我们访问受限, 无法下载到代理工具 (比如:Xray); 或不想过多的配置或下载代理客户端, 只是临时用一下代理而已, 传统的HTTP代理又不安全, 容易被识别出来, 有没有一个服务端能够支持客户端使用HTTPS代理?

有, 那就是<code>gost</code>, 而且它的速度不比Xray的<code>vless+reality+xtls-rprx-vision</code>的差
----

=== 1. 准备 ===
主要使用3.0版本<syntaxhighlight>
wget https://github.com/go-gost/gost/releases/download/v3.2.6/gost_3.2.6_linux_amd64.tar.gz
tar -xzf gost_3.2.6_linux_amd64.tar.gz
mv gost /usr/local/bin/
chmod u+x /usr/local/bin/gost
rm gost_3.2.6_linux_amd64.tar.gz
</syntaxhighlight>可以自行更换版本, 也可以使用[https://github.com/go-gost/gost Github]上的安装脚本

=== 2. 配置service ===
新建一个<code>gost.service</code>并进行配置<syntaxhighlight line="1">
[Unit]
Description=gost
After=network.target network-online.target

[Service]
Type=simple
StandardError=journal
ExecStart="/usr/local/bin/gost"
ExecReload=/bin/kill -HUP $MAINPID
Restart=on-failure
RestartSec=1s

[Install]
WantedBy=multi-user.target

</syntaxhighlight>我们保存在<code>/main/gost/</code>为例, 建立一个软链接以方便备份与配置<syntaxhighlight>
ln -f /main/gost/gost.service /etc/systemd/system/
</syntaxhighlight>添加到开机启动中<syntaxhighlight>
systemctl daemon-reload
systemctl enable gost.service
</syntaxhighlight>

=== 3. 配置证书 ===
你可以选择使用自签证书或正式证书, 若'''使用正式证书且不配置代理账号密码'''会导致主机变为肉鸡, 若使用自签证书会有更好的安全性, 前提是你的自签证书没有被泄露, 这里仅展示自签证书的配置方法<syntaxhighlight>
mkdir /main/gost/cert
cd /main/gost/cert
</syntaxhighlight>新建一个<code>server.cert.conf</code>并进行配置<syntaxhighlight line="1">
[req]
default_bits       = 4096
default_md         = sha256
distinguished_name = req_distinguished_name
req_extensions     = req_ext
x509_extensions    = v3_ca
prompt             = no

[req_distinguished_name]
O                  = gost
CN                 = gost cert

[req_ext]
subjectAltName     = @alt_names

[v3_ca]
subjectAltName     = @alt_names
basicConstraints   = CA:FALSE
keyUsage           = digitalSignature, keyEncipherment
extendedKeyUsage   = serverAuth, clientAuth

[alt_names]
DNS.1              = 你的域名
DNS.2              = 你的第二个域名
</syntaxhighlight>需要设置好域名并进行保存

执行命令<syntaxhighlight>openssl genrsa -out ca.key.pem 4096
openssl req -new -x509 -nodes -days 5475 -sha256 -key ca.key.pem -out ca.cert.pem -subj "/O=gost/CN=gost ca"

openssl genrsa -out server.key.pem 4096
openssl req -new -key server.key.pem -out server.csr.pem -config server.cert.conf
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in server.csr.pem -out server.cert.pem -days 5475 -sha256 -extfile server.cert.conf -extensions v3_ca</syntaxhighlight>查看证书信息<syntaxhighlight>openssl x509 -in ca.cert.pem -text -noout</syntaxhighlight>'''Windows'''安装证书:

<code>ca.cert.pem</code>改为<code>.der</code>后缀, 双击安装, 到本地计算机, 将证书放入下列存储 (受信任的根证书颁发机构)

'''Linux安装证书:'''<syntaxhighlight>
mkdir -p /usr/local/share/ca-certificates
cp ca.cert.pem /usr/local/share/ca-certificates/
chmod 0644 /usr/local/share/ca-certificates/ca.cert.pem
update-ca-certificates
</syntaxhighlight>

=== 4. 配置gost ===
<syntaxhighlight>
cd /main/gost
</syntaxhighlight>新建一个<code>gost.json</code>并进行配置, 可以参考[https://gost.run/ 官网]的教程<syntaxhighlight lang="json" line="1">
{
  "services": [
    {
      "name": "https-proxy",
      "addr": ":56000",
      "handler": {
        "type": "http",
        "metadata": {
          "knock": "你的域名",
          "probeResist": "web:test-ipv6.com:80"
        }
      },
      "listener": {
        "type": "tls"
      }
    }

  ],

  "tls": {
    "certFile": "/main/gost/cert/server.cert.pem",
    "keyFile": "/main/gost/cert/server.key.pem"
  }
}
</syntaxhighlight>对原配置文件进行链接<syntaxhighlight>
ln -f /main/gost/gost.json /etc/gost/
</syntaxhighlight>重启服务<syntaxhighlight>
systemctl restart gost.service
systemctl status gost.service
</syntaxhighlight>

=== 5. 客户端使用 ===
任何系统想用就必须装上'''CA证书''', 也就是上面提到的<code>ca.cert.pem</code>

'''Windows:'''

[[File:如何使用gost搭建HTTPS代理-1.png|frameless|421x421px]]
'''Linux:''' <syntaxhighlight>
export https_proxy="https://你的域名:56000"
</syntaxhighlight>'''其他系统设置可能不支持HTTPS代理, 仅有HTTP代理'''