1. 首页
  2. Cloud Profile
  3. 如何使用 Cloud Profile

如何使用 Cloud Profile

Cloud Profile

截止目前,Cloud Profile 仍然是一个实验性功能,可能尚未实现所有客户端功能或运行不稳定。rixCloud 也可能随时关闭此功能,请不要过度依赖于此功能。

Cloud Profile 目前处于公共测试阶段(Public Beta)。

Cloud Profile 是 rixCloud 提供的一项核心功能,用于使用户可以方便地编辑托管配置文件而无需失去节点信息自动更新的能力(相对于本地编辑而言)。

请注意,根据 rixCloud 和条款和条件,使用任何第三方配置,或是修改了 rixCloud 的 Managed Profile(托管配置),即视为自行放弃 rixCloud 的支持服务和服务水平保障。这是因为在基于规则的客户端上,策略和规则有着非常强大的力量并可能影响正常使用,我们的服务中不包含检查你的第三方配置是否可以正常使用。


界面

Cloud Profile

Cloud Profile Dashboard 分为三个功能区:

配置文件

用户可以创建 / 编辑和删除云端配置文件,这也是 Cloud Profile 主要功能。目前,支持 Surge 2 / Surge 3+ / Surfboard 和 Clash 的配置文件。

Cloud Profile 会显示配置文件的类型,创建日期和配置文件所关联的订阅。

证书管理

Cloud Profile 允许用户创建独立的 MitM CA 证书,从根本上解决了使用公共 CA 证书存在的安全隐患。

虽然自行在客户端中创建 CA 证书也具有同样的安全性,但是这将失去托管配置自动更新的优势。

所有证书都由 rixCloud PKI 系统签发,我们计划在未来提供完整的 CRL 和 OCSP 功能,以增强用户 CA 证书的安全性。

当然,我们同样允许用户使用自己创建的 CA 证书,只需要上传到 Cloud Profile 中就可以在后续的配置文件中使用。

文本托管

Cloud Profile 允许用户将配置文件中所需的规则集和脚本文件托管到 Cloud Profile 中,虽然使用 GitHub Gist 也具有相同的功能,但 Cloud Profile 提供一站式方案和相比 GitHub 更快的响应速度。


配置文件

请确保你对所使用的客户端软件有足够的了解再使用自定义配置功能。

客户端软件

rixCloud Cloud Profile 目前支持四种客户端软件类型,并基本支持了这些客户端的大部分设置项目。

只能为每个订阅创建一个对应客户端类型的配置文件。如只能为一个订阅创建一个 Surge 3+ 格式的配置文件。

如果选择的订阅和配置文件类型下已经存在配置文件,则 Cloud Profile 会询问是否希望加载现有配置以编辑,还是创建新的配置来覆盖现有配置。

选择订阅和配置文件格式后,将按照「General」-「Proxy」-「Proxy Group」-「Rules」-「Others」的顺序进行配置文件的引导式创建。大部分基于规则的客户端都具有相似的配置文件区块。

General

此部分定义配置文件的通用设置。

General Section 定义客户端的基本功能,如 IPv6 支持和 DNS 服务器的设置。

Surge 的配置文件请参考此文档

Clash 的配置文件请参考此文档

Surfboard 目前没有可用的官方文档来详细介绍每个参数的用法和用途,但是 Surfboard 基本可以视为 Surge 2 配置文件的子集,因此可以直接参考 Surgre 2 的配置文件语法。

Proxy

此部分由 rixCloud API 自动获取,无需用户操作。

Proxy Group

Proxy Group 的使用存在一定限制,具体请参考《Cloud Profile 的使用限制》

向 Proxy Group 添加节点时,支持添加全节点 / 按地区添加 / 按节点类型添加和手动选择特定节点。

支持默认策略(DIRECT / REJECT 等)和 Proxy Group 嵌套。

Proxy Group 的命名支持使用 emoji。

Rule

对于 Clash 和 Surfboard 而言,此部分用于填写整个配置文件的所有剩余部分,并不局限于 Rule Section。

对于 Surge 而言,此部分用于填写整个配置文件除 MitM Section 的所有剩余部分,包括 Rule / URL Rewrwite / Host 等。

Surge 的 MitM 在下一步由独立流程完成。

MitM

此流程目前仅在 Surge 启用,因为 Clash 和 Surfboard 不支持该功能。

此流程用于设定是否开启 MitM 功能,设置 MitM 功能的选项和管理需要进行 MitM 的域名。

需要注意的是,此部分并不涉及 CA 证书,默认情况下仍然使用 rixCloud 的通用 MitM CA 证书。

如果需要使用独立的 CA 证书,需要在创建完成配置文件后在 Cloud Profile 主页关联已有证书到配置文件。

证书分配

创建了一个自定义配置文件后,可以在 Cloud Profile 主页分配一个独立 CA 证书到配置文件。

首先需要创建或上传一个 CA 证书到 Cloud Profile。

然后选择一个证书,点击倒三角按钮,并在弹出的下拉菜单中选择「分配」。

然后在新的页面选择先前配置文件的订阅和配置文件类型,并点击「分配证书」。

证书会分配到该配置文件,现在此配置文件就使用独立的 CA 证书。

可以在 Cloud Profile 下载该 CA 证书到设备上,也可以在 rixCloud 管理门户的订阅管理页面下载证书,具有相同的功能。

使用 Chrome 在 macOS 设备上下载证书描述文件时,可能会被警示下载的文件存在风险,这是因为描述文件(.mobileconfig)在 macOS 和 iOS 设备上具有极高的权限,盲目使用将可能存在风险。但 rixCloud MitM CA Profile 中仅包含了用户所需的证书,且需要手动信任才能生效,可以放心下载。

从 Cloud Profile 下载证书
从管理门户订阅管理页面下载证书

下载证书后需要进行信任的操作,具体可以参考 rixCloud 知识库的现有文档:

在 iOS 设备上配置 Surge MitM 功能

在 macOS 设备上配置 Surge MitM 功能

由于目前支持 MitM 功能的客户端均运行在 Apple 设备上,因此我们使用 Apple 的描述文件来封装证书并进行签名。所有从 rixCloud 下载的证书描述文件均由 rixCloud, Inc. 进行了数字签名,以确保你从 rixCloud 下载的配置没有被第三方篡改。


MitM CA 证书

目前,在 Cloud Profile 支持的客户端中,仅 Surge 提供了对 MitM 的支持。

在 Managed Profile 中,使用 rixCloud 的通用 CA 证书进行 MitM,但是这可能存在安全风险,由于证书私钥对所有人公开,因此不排除可能会被用于恶意攻击,虽然我们已经通过合理的努力来尽力降低这种风险。

为了彻底解决这种潜在风险,且不以损失在线托管规则的优势为代价,Cloud Profile 支持为每个订阅添加独立的 CA 证书。此证书可以是由 rixCloud PKI 系统创建,也可以由用户创建并上传到 Cloud Profile 系统中。

由 rixCloud PKI 系统进行管理

在 Cloud Profile 主界面中,点击「签发新证书」按钮,并选择「请求新证书」。

Cloud Profile 会询问是否需要为证书添加一个「友好名称」(Friendly Name),如果提供了友好名称,会显示在证书的「通用名」(Common Name)上,便于在同时管理多份证书时识别证书。如果留空不提供友好名称,则会自动使用证书指纹的部分前缀。

上传已有证书

Cloud Profile 也允许用户上传已有的证书并在 Cloud Profile 中使用。

只允许使用包括证书私钥和公钥的 PKCS #12 文件,文件的扩展名(或称为后缀名)应该为 .p12。一份 PKCS #12 中只允许包括一个证书容器,同时储存多份证书的文件不能被识别和使用。

建议使用 OpenSSL 来创建 PKCS #12 文件。


规则集和脚本

Cloud Profile 允许用户将规则集(Ruleset)和脚本(JavaScript)托管到 Cloud Profile 的基础设施中。

Cloud Profile 的数据储存在全球多个数据中心,因此在大部分地区都可以快速存取。

规则集(Ruleset)

规则集中应当仅包含类型(如 DOMAIN-SUFFIX)和目标内容(如 www.google.com),不应当包含策略。在某些用例中,可以包含参数 force-remote-dns。

但是,Cloud Profile 不会检查你保存的内容是否符合语法,因此如果你填写了错误的内容,将可能导致客户端不能识别,甚至可能导致客户端崩溃。

脚本(JavaScript)

对于脚本储存没有特别限制。

Cloud Profile 的编辑器包含对 JavaScript 的语法高亮和有限的代码补全。

更新 十一月 14, 2019

相关文章

发表评论