update README.md

README.md

@@ -23,25 +23,26 @@
   -ws
       使用 Websocket 协议。客户端和服务端需一致。
   -ws-path string
-      Websocket 的 url path。客户端和服务端需一致。
+      Websocket 的 URL path。客户端和服务端需一致。
 
 # 客户端参数
 # e.g. simple-tls -b 127.0.0.1:1080 -d your_server_ip:1080 -n your.server.name
 
-  -mux int
-      单条 TCP 连接内最大复用的连接数。(默认 0, 禁用 mux)
   -n string
       服务器证书名。用于验证服务端的证书的合法性。也用作 SNI。
+  -mux int
+      单条 TCP 连接内最大复用的连接数。(默认 0, 禁用 mux)
   -no-verify
       客户端将不会验证服务端的证书的合法性。(证书链验证)
   -ca string
-      加载用于验证服务端的证书的 CA 证书文件。(默认使用系统证书池)
+      用于验证服务端的证书的 CA 证书文件。(默认使用系统证书池)
   -cert-hash string
       检查服务器证书的 hash。(文件验证)
       -hash-cert 命令可以生成证书的 hash
 
 # 服务端参数
 # e.g. simple-tls -b :1080 -d 127.0.0.1:12345 -s -key /path/to/your/key -cert /path/to/your/cert
+# 证书格式必须是 PEM (base64) 。
 # -cert 和 -key 可以同时留空，会在内存中生成一个临时证书。证书的域名默认随机，但也可以取自 `-n` 参数。
 # e.g. simple-tls -b :1080 -d 127.0.0.1:12345 -s -n my.test.domain
 
@@ -52,7 +53,7 @@
   -key string
       密钥路径。
   -no-tls
-      禁用 TLS。
+      禁用 TLS。(用于配合其他 TLS 代理)
 
 # 其他通用参数
 
@@ -64,19 +65,22 @@
 # 命令
 
   -gen-cert
-      快速生成一个域名为 `-n` 的 ECC 证书到当前目录。
+      生成一个密钥长度为 256 的 ECC 证书到当前目录。
+      证书的 dns name 可以用 `-n` 设定。默认是随机字符串。
+      可以用 `-template` 指定模板证书。除密钥等关键参数外，其他参数都会从模板证书复制。
+      可以用 `-cert` 和 `-key` 指定证书输出位置。(默认当前目录且文件名是证书的 dns name)
       e.g. simple-tls -gen-cert -n my.domain
       会生成证书 my.domain.cert 和密钥 my.domain.key 两个文件到当前目录。
   -hash-cert
-      计算证书的 hash 值。(用于客户端的 -cert-hash)
+      显示证书的 hash 值。(用于客户端的 -cert-hash)
       e.g. simple-tls -hash-cert ./my.cert
   -v
       显示目前程序版本
 ```
 
-## 服务端无合法证书(使用自签发证书)时如何使用
+## 服务端无合法证书时如何快速上手 
 
-服务端使用临时证书，客户端不做任何验证。建议仅测试时使用该方案。
+服务端使用临时证书，客户端不做任何验证。下层连接有安全措施时可以使用该方案。
 
 ```shell
 # 服务端的 -cert 和 -key 同时留空，会在内存生成一个临时证书。
@@ -85,27 +89,17 @@ simple-tls -b :1080 -d 127.0.0.1:12345 -s -n my.cert.domain
 simple-tls -b :1080 -d your.server.address:1080 -n my.cert.domain -no-verify
 ```
 
-服务端使用固定证书，客户端使用 hash 验证服务端证书。
-
-```shell
-# 服务端生成一个证书。然后计算证书的 hash。
-simple-tls -gen-cert -n my.cert.domain
-simple-tls -hash-cert ./my.cert.domain.cert
-# 使用这个证书启动服务端
-simple-tls -b :1080 -d 127.0.0.1:12345 -s -key ./my.cert.domain.key -cert ./my.cert.domain.cert
-# 客户端禁用证书链验证但启用证书文件验证。
-simple-tls -b :1080 -d your.server.address:1080 -n my.cert.domain -no-verify -cert-hash 96edc5...
-```
-
-服务端使用固定证书，客户端使用 CA 验证服务端证书。
+服务端使用固定证书，客户端使用 hash 验证服务端证书。可提供较高的安全性。
 
 ```shell
 # 服务端生成一个证书。
 simple-tls -gen-cert -n my.cert.domain
+# 然后显示证书的 hash。e.g. 8910fe28d2fb40398a...
+simple-tls -hash-cert ./my.cert.domain.cert
 # 使用这个证书启动服务端
 simple-tls -b :1080 -d 127.0.0.1:12345 -s -key ./my.cert.domain.key -cert ./my.cert.domain.cert
-# 客户端将生成的证书作为 CA 导入
-simple-tls -b :1080 -d your.server.address:1080 -n my.cert.domain -ca ./my.cert.domain.cert
+# 客户端禁用证书链验证但启用证书 hash 验证。
+simple-tls -b :1080 -d your.server.address:1080 -n my.cert.domain -no-verify -cert-hash 8910fe28d2fb40398a...
 ```
 
 ## 作为 SIP003 插件使用
@@ -121,8 +115,8 @@ sslocal -c config.json --plugin simple-tls --plugin-opts "n=your.server.certific
 
 ### Android 插件
 
-simple-tls-android 是 [shadowsocks-android](https://github.com/shadowsocks/shadowsocks-android) 的带 GUI 的插件。
+simple-tls-android 是 [shadowsocks-android](https://github.com/shadowsocks/shadowsocks-android) 的带 GUI 的插件。目前随 simple-tls 一起发布。可从 release 界面下载全平台通用的 apk。
 
-目前随 simple-tls 一起发布。可从 release 界面下载。
+在 shadowsocks-android 的配置界面选择 simple-tls-android 时会弹出警告 `不是来自可信源`。是因为目前只有 shadowsocks-android 的原作者是 `可信源`，所有第三方插件都会弹出这个警告，无视就好。
 
 simple-tls-android 的源代码在 [这里](https://github.com/IrineSistiana/simple-tls-android) 。