搬瓦工 VPS 搭建 Trojan 详细教程（自动续签 SSL 证书，自动配置伪装网站）

使用搬瓦工 VPS 搭建 Trojan，主要涉及服务器、域名解析、SSL 证书和 Nginx 伪装站四个环节。域名解析到 VPS 后，再通过 SSL 证书和伪装网站处理普通 HTTPS 访问，就可以完成服务端部署。本文以 Debian 12 系统为例，演示如何安装原版 Trojan，并配置 Nginx 伪装站和 Let’s Encrypt SSL 证书自动续签。

Trojan 的工作方式可以这样理解：客户端使用正确的域名、端口、密码、TLS 和 SNI 参数连接服务器；普通浏览器访问同一个域名时，则会看到一个正常网页。这样既能完成 Trojan 连接，也能让域名具备基础的 HTTPS 伪装效果。

搬瓦工 VPS 搭建 Trojan 详细教程

如果只是想直接使用现成节点，不想自己维护 VPS、域名、SSL 证书和客户端参数，可以选择搬瓦工运营的 Just My Socks 机场服务。自建 Trojan 更适合已经有 VPS 基础、愿意自己管理服务端和客户端配置的用户。

一、Trojan 工作原理与 HTTPS 伪装说明

Trojan 是一款基于 TLS 的代理工具。部署完成后，服务端会使用 SSL 证书提供 HTTPS 连接，客户端需要填写域名、端口、密码、TLS 和 SNI 才能连接。

本文使用的部署方式是：Trojan 监听 443 端口，Nginx 监听 80 端口并提供伪装网页。普通浏览器访问绑定域名时，会看到一个正常网站页面；客户端使用正确密码连接时，则会进入 Trojan 服务。

这种方式比只开放代理端口多了域名解析、证书申请和伪装站配置几个步骤。流程跑通后，日常维护主要看两件事：证书是否能自动续签，Trojan 和 Nginx 服务是否正常运行。

如果你想进一步理解代理工具为什么要做 HTTPS 伪装、域名伪装和网站回落，也可以阅读 V2Ray 高级使用技巧之流量伪装，这类概念对理解 Trojan 的伪装站也有帮助。

二、搬瓦工 VPS 搭建 Trojan 前准备

开始安装之前，需要先准备 VPS、域名和 SSH 登录工具。Trojan 搭建失败，多数不是脚本命令本身的问题，而是域名没有解析到 VPS、80/443 端口被占用，或者服务器防火墙没有放行相关端口。

1. 准备搬瓦工 VPS 和 Linux 系统

本文以搬瓦工 VPS 作为演示环境，实测系统为 Debian 12 64 位。本文使用的一键脚本支持 CentOS 7+、Debian 9+、Ubuntu 16.04+ 等系统，搬瓦工 VPS 新建系统时建议直接选择 Debian 12 64 位。

本文后续命令、截图和验证结果均按 Debian 12 演示。如果你使用 Ubuntu 或 CentOS，脚本本身支持安装，但前面的软件源更新、基础组件安装等命令可能需要按系统对应包管理器调整。新手照着本文操作，直接选择 Debian 12 更方便，后续命令不需要再按其它系统转换。

开通 VPS 后，需要在搬瓦工后台确认以下信息：

• VPS 公网 IPv4 地址；
• SSH 端口；
• root 用户密码；
• 当前安装的系统版本。

如果只是测试 Trojan 搭建流程，普通搬瓦工 VPS 套餐即可；如果打算长期使用，建议优先选择网络质量更好的线路。下单时可以使用 搬瓦工优惠码。

如果还没有购买 VPS，可以参考 最新搬瓦工 VPS 注册与购买教程。

如果你使用的是 CentOS 系统，并且准备搭建的是 V2Ray + Nginx + WebSocket + TLS 方案，可以参考 CentOS 系统带伪装 V2Ray 一键脚本安装教程：Nginx+WS+TLS 部署。

本文下面继续以 Debian 12 和原版 Trojan 为主，CentOS 用户不要直接照抄本文中的 apt 命令。

2. 准备用于伪装站的域名

Trojan 需要使用域名申请 SSL 证书，也需要通过域名完成 TLS 和 SNI 连接。域名可以使用主域名，也可以使用二级域名，例如：

t1.example.com

测试脚本时，不建议反复使用主站域名申请证书。可以单独准备一个测试域名，或者使用二级域名，避免影响主站后续证书申请。

3. 设置域名 A 记录和 SSH 登录工具

进入域名 DNS 管理后台，添加一条 A 记录，将域名解析到搬瓦工 VPS 的公网 IPv4。

例如：

主机记录：t1
记录类型：A
记录值：你的 VPS 公网 IPv4

如果使用 Cloudflare 等 DNS 平台，安装期间建议关闭 CDN 代理，只保留 DNS 解析。证书申请需要 CA 机构能够直接访问服务器 80 端口，如果域名套了代理，可能导致验证失败。

Windows 用户可以使用 Xshell、FinalShell 或 Windows Terminal 登录 VPS。Mac 用户可以直接打开系统自带“终端”，使用 SSH 命令连接服务器。

SSH 登录命令格式如下：

ssh root@服务器IP -p SSH端口

如果 SSH 端口是默认 22，也可以使用：

ssh root@服务器IP

后面的安装命令都需要在 root 用户下执行。

三、安装前检查系统、端口和域名解析

正式运行脚本之前，先检查系统版本、CPU 架构、登录用户、基础组件、服务器公网 IP、端口占用和域名解析。前面检查到位，后面申请 SSL 证书和安装 Trojan 出错的概率会低很多。

1. 检查系统环境和基础组件

先查看系统版本：

cat /etc/os-release

如果输出中可以看到 Debian 12，说明系统版本符合本文演示环境。

继续查看 CPU 架构：

uname -m

常见输出为：

x86_64

这表示当前 VPS 是 64 位 x86 架构。

继续确认当前登录用户：

whoami

如果输出为：

root

说明当前已经使用 root 用户登录，可以继续执行安装命令。

确认 Debian 12 系统、x86_64 架构和 root 登录状态

接着更新 Debian 软件源：

apt update -y

然后安装基础组件：

apt install -y curl wget sudo ca-certificates unzip xz-utils dnsutils

这些组件用于下载脚本、处理压缩文件、检查 DNS 解析和安装证书相关依赖。

更新软件源并执行 Trojan 搭建所需基础组件安装命令

2. 检查公网 IP、80/443 端口和域名解析

先查看 VPS 公网 IPv4：

curl -4 https://icanhazip.com

返回的 IP 应该和搬瓦工后台显示的 VPS 公网 IPv4 一致。后面设置域名 A 记录时，就需要将域名解析到这个 IP。

继续检查 80 和 443 端口是否被占用：

ss -lntp | grep -E ':(80|443)\s' || echo "80/443 端口未被占用"

如果输出：

80/443 端口未被占用

说明当前 VPS 上没有其它 Web 服务占用这两个端口。Trojan 和 Nginx 安装时会用到 80 和 443，安装前必须确认端口空闲。

然后检查域名解析是否生效。将下面命令中的域名替换成自己的域名：

dig +short A trojan.example.com

如果返回值是当前 VPS 公网 IPv4，说明域名 A 记录已经生效，可以继续申请 SSL 证书。

检查 VPS 公网 IP、80/443 端口占用和域名解析结果

四、搬瓦工 VPS 使用一键脚本安装 Trojan 服务端

前置检查完成后，就可以在 VPS 上运行 Trojan 一键脚本。本文只使用其中的 Trojan + Nginx 方案，不展开 V2Ray、Xray、Trojan-Go、Shadowsocks 等其它功能。

如果你想先了解不同系统下 Trojan 一键脚本的通用安装步骤，也可以参考这篇 Trojan 一键脚本安装教程：适用于CentOS/Debian/Ubuntu系统。本文下面仍以搬瓦工 VPS 和 Debian 12 环境继续演示。

如果你不是要搭建 Trojan，而是想部署 VMess、VLESS、XTLS 等 V2Ray / Xray 协议组合，可以参考这篇 最新 V2Ray 多合一脚本，支持 VMESS+websocket+TLS+Nginx、VLESS+TCP+XTLS、VLESS+TCP+TLS，两类教程不要混着操作。

1. 下载并运行 jinwyp 安装脚本

先下载脚本：

curl -O https://raw.githubusercontent.com/jinwyp/one_click_script/master/trojan_v2ray_install.sh

然后赋予执行权限：

chmod +x trojan_v2ray_install.sh

继续运行脚本：

./trojan_v2ray_install.sh

脚本启动后会显示功能菜单。

运行 jinwyp 一键脚本后显示 Trojan 和 Nginx 安装菜单

2. 选择 Trojan + Nginx 安装模式

在脚本菜单中选择：

2. 安装 trojan/trojan-go 和 nginx

输入：

2

然后回车继续。

这个选项会安装 Trojan 服务端和 Nginx 伪装网站，符合本文“Trojan + SSL 证书 + 伪装站”的部署目标。

脚本会提示输入证书保存路径，默认路径为：

/nginxweb/cert

这里直接回车即可，不建议自定义证书路径。后续 Trojan 配置文件会使用这个默认路径读取 SSL 证书。

接着脚本会要求输入解析到本 VPS 的域名。这里输入自己的域名，例如：

trojan.example.com

只输入纯域名，不要加 http:// 或 https://。

脚本会询问是否检测域名指向的 IP，直接回车即可。解析正确时，会提示域名解析 IP 和本机 IP 一致。

输入绑定域名并通过脚本内置 IP 解析检测

3. 申请 SSL 证书并安装 Nginx 伪装站

脚本会询问是否申请证书。首次安装直接回车，让脚本自动申请证书。

随后输入用于申请 SSL 证书的邮箱地址。邮箱用于证书账户注册和续签提醒，建议填写自己能正常接收邮件的邮箱。

后面的证书选项保持默认即可：

是否申请证书：直接回车
邮箱地址：填写自己的邮箱
证书提供商：直接回车
证书申请方式：直接回车
HTTP 申请方式：直接回车

如果域名解析和 80 端口都正常，脚本会开始通过 acme.sh 向 Let’s Encrypt 申请 SSL 证书。终端中出现 Cert success，说明证书已经申请成功。

Let’s Encrypt SSL 证书申请成功

证书申请成功后，脚本会继续将证书文件写入默认路径，后续 Trojan 配置文件会从这里读取证书：

/nginxweb/cert/server_fullchain.cert
/nginxweb/cert/server.key

接下来脚本会安装 Nginx，并生成默认伪装网站内容。

出现是否反代指定网站的提示时，普通用户直接回车即可，使用脚本提供的静态页面作为伪装网站。

如果后续想把默认伪装页面改成静态网站、反向代理页面或 WordPress 站点，可以参考 V2Ray 伪装搭建网站教程：静态网站、反向代理与 WordPress。本文安装阶段先使用脚本生成的默认静态页面，等 Trojan 服务端确认可用后，再单独调整伪装站内容。

安装成功后，脚本会输出类似信息：

Web服务器 nginx 安装成功
伪装站点为 http://trojan.example.com
伪装站点的静态html内容放置在目录 /nginxweb/html
nginx 配置路径 /etc/nginx/nginx.conf

Nginx 伪装网站安装成功并生成默认站点目录

4. 安装原版 Trojan 并保存节点参数

脚本随后会提示选择安装 Trojan 或 Trojan-Go。本文使用原版 Trojan，不使用 Trojan-Go，因此这里输入：

1

也就是选择：

1 原版 Trojan 不支持 websocket

这样安装的是传统 Trojan 服务端，客户端按普通 Trojan 参数填写即可。

选择原版 Trojan 服务端并开始安装

接下来脚本会提示输入 Trojan 密码前缀。普通用户直接回车即可，让脚本随机生成密码。

随后会提示是否自定义 Trojan 端口号。这里直接回车，使用默认 443 端口。

推荐选择如下：

密码前缀：直接回车
是否自定义 Trojan 端口号：直接回车

这样安装完成后，Trojan 会监听 443 端口，Nginx 负责 80 端口伪装站。普通浏览器访问域名时，会返回伪装网页；客户端使用正确密码连接时，则会进入 Trojan 服务。

安装完成后，终端会输出 Trojan 服务端安装结果，并显示服务器地址、端口、密码、Shadowrocket 链接和二维码等客户端连接信息。需要保存以下内容：

服务器地址：你的域名
端口：443
密码：任选一个脚本生成的密码
SNI：你的域名
TLS：开启

脚本通常会生成多个可用密码，选择其中一个保存即可。截图中涉及域名、端口、密码、分享链接和二维码的位置建议打码，实际使用时以自己终端输出的信息为准。

原版 Trojan 服务端安装成功并输出客户端连接信息

五、验证 Trojan 服务端和 Nginx 伪装站

安装完成后，不要只看脚本成功提示，还要检查 Trojan 服务、Nginx 服务、端口监听、HTTPS 返回结果、自动续签任务和服务端配置文件。

1. 检查服务状态、端口监听和 HTTPS 返回结果

先检查 Trojan 服务：

systemctl status trojan --no-pager -l

如果输出中包含：

Active: active (running)

说明 Trojan 服务端正在运行。

继续检查 Nginx 服务：

systemctl status nginx --no-pager -l

如果输出中包含：

Active: active (running)

说明 Nginx 伪装网站服务正在运行。

Trojan 和 Nginx 服务均处于运行状态

接着检查 80 和 443 端口监听：

ss -lntp | grep -E ':(80|443)\s'

正常情况下可以看到：

80 端口由 nginx 监听
443 端口由 trojan 监听

继续检查 HTTPS 返回结果：

curl -I https://trojan.example.com

将 trojan.example.com 替换成自己的域名。

如果返回类似下面内容：

HTTP/1.1 200 OK
Server: nginx

说明普通 HTTPS 访问可以进入 Nginx 伪装网站。此时也可以在浏览器中打开域名，检查是否能看到伪装网页。

检查 80 和 443 端口监听状态，并确认 HTTPS 伪装站可以正常访问

2. 查看 SSL 自动续签任务和 Trojan 关键配置

先查看定时任务：

crontab -l

如果能看到类似：

"/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh"

说明 acme.sh 已经写入定时任务，后续会自动处理 SSL 证书续签。

部分脚本还会加入定时重启 Trojan 的任务，用于减少服务长时间运行后的异常概率。

继续查看 Trojan 服务端配置文件：

cat /root/trojan/server.json

重点检查以下几项：

"local_port": 443
"remote_addr": "127.0.0.1"
"remote_port": 80
"cert": "/nginxweb/cert/server_fullchain.cert"
"key": "/nginxweb/cert/server.key"

其中 local_port 表示 Trojan 监听 443 端口；remote_addr 和 remote_port 表示普通 HTTPS 请求会回落到本机 Nginx 伪装站；cert 和 key 是 SSL 证书文件路径。

六、Trojan 客户端参数说明

本文重点是搬瓦工 VPS 搭建 Trojan 服务端，客户端只需要保存连接参数即可。Windows、Android、Mac、Clash 等不同客户端的详细配置步骤，可以参考站内对应教程。

1. 保存 Trojan 通用连接参数

安装完成后，客户端需要填写以下通用参数：

协议：Trojan
地址：你的域名
端口：443
密码：安装完成后输出的任意一个密码
TLS：开启
SNI：你的域名
传输协议：TCP
ALPN：http/1.1

不同客户端的字段名称可能略有差异，但核心就是地址、端口、密码、TLS 和 SNI。地址和 SNI 一般都填写同一个域名。

2. 查看各平台 Trojan 客户端教程

如果还没有安装客户端，可以先查看：最新 Trojan 客户端下载地址（支持各平台）。

不同系统可以继续参考下面教程：

• Windows 用户可以参考：Windows 系统 Trojan 客户端使用教程
• Android 用户可以参考：Android（安卓）系统 Trojan 客户端使用教程
• Mac 用户可以参考：Mac OS X（苹果）系统 Trojan 客户端使用教程
• Android Clash 用户可以参考：Android（安卓）系统 Clash for 客户端配置 Trojan 使用教程
• Mac ClashX 用户可以参考：Mac OS X（苹果）系统下 ClashX 客户端 Trojan 配置使用教程

七、常见问题答疑

1. 搬瓦工 VPS 搭建 Trojan 建议用什么系统？

建议使用 Debian 12 64 位系统。本文的命令、截图和验证结果都是按 Debian 12 演示，适合新手直接照着操作。本文使用的一键脚本支持 CentOS 7+、Debian 9+、Ubuntu 16.04+ 等系统，但不同系统的软件包命令和依赖处理可能不同，新装 VPS 没必要为了旧系统专门选择 CentOS 7。

2. 为什么 Trojan 必须准备域名？

Trojan 依赖 TLS 和 SNI，客户端连接时需要使用域名，SSL 证书也需要绑定域名申请。没有域名就无法完成正常 HTTPS 证书验证，也无法实现本文这种 Nginx 伪装网站效果。

3. 为什么要检查 80 和 443 端口？

80 端口用于证书验证和 HTTP 访问，443 端口用于 Trojan TLS 连接。如果这两个端口被其它服务占用，脚本可能无法申请证书，或者 Trojan / Nginx 无法正常启动。

4. 域名解析正确但证书申请失败怎么办？

先确认域名 A 记录是否返回 VPS 公网 IP，再检查 80 端口是否被占用。如果短时间内对同一个域名反复申请证书，也可能触发证书机构的签发次数限制。测试脚本时建议使用专门的测试域名或二级域名，不要反复消耗主站域名的证书额度。

5. 浏览器访问域名为什么显示伪装网站？

这是正常结果。Trojan 客户端使用正确密码连接时会进入 Trojan 服务；普通浏览器访问时，会被转发到 Nginx 伪装网站。浏览器能打开 HTTPS 伪装站，说明证书和 Nginx 回落配置已经生效。

6. Trojan 客户端连接失败怎么排查？

先检查服务端是否运行：

systemctl status trojan --no-pager -l

再检查 443 端口是否监听：

ss -lntp | grep ':443'

然后核对客户端里的地址、端口、密码、TLS、SNI 是否与服务端输出一致。密码错、SNI 没填、端口不一致，都会导致连接失败。

7. 如何查看 Trojan 密码？

执行：

cat /root/trojan/server.json

在 password 数组中可以看到当前可用的 Trojan 密码。多个密码任选一个填入客户端即可。

8. 如何修改 Trojan 密码？

编辑配置文件：

nano /root/trojan/server.json

修改 password 数组中的密码后，保存文件并重启 Trojan：

systemctl restart trojan

修改后客户端也要同步更新密码，否则无法连接。

9. 如何卸载 Trojan 和 Nginx？

重新运行脚本：

./trojan_v2ray_install.sh

在菜单中选择卸载 Trojan / Trojan-Go 和 Nginx 的选项。卸载前建议先备份证书、配置文件和客户端参数。

八、总结

使用搬瓦工 VPS 搭建 Trojan，关键步骤是准备 Debian 12 系统、解析域名到 VPS 公网 IP、确认 80/443 端口可用，然后通过一键脚本安装 Trojan、Nginx 伪装网站和 Let’s Encrypt SSL 证书。

安装完成后，不要只保存客户端参数，还要检查 Trojan 服务、Nginx 服务、80/443 端口监听、HTTPS 伪装站返回结果、SSL 自动续签任务和 Trojan 服务端配置文件。只要 443 端口由 Trojan 监听，普通 HTTPS 访问能够返回 Nginx 伪装站，客户端参数填写正确，就可以完成 VPS 搭建 Trojan 和客户端连接。