搬瓦工机场
Just My Socks教程

S-UI 面板 Trojan TLS 搭建教程:证书、ALPN 与 Clash Verge 实测

S-UI 是一款基于 sing-box 的网页管理面板,可以在 VPS 上创建 VMess、VLESS、Trojan、Shadowsocks、Hysteria2 等多种代理节点。本文介绍如何在 S-UI 面板中搭建 Trojan TLS 节点,主要包括 TLS 证书申请、ALPN 设置、Trojan 入站创建、客户端绑定,以及导入 Clash Verge 使用。

如果 VPS 还没有安装 S-UI 面板,可以先参考 S-UI 面板安装教程:VPS 搭建 sing-box 多协议管理面板,完成面板安装和登录后,再继续配置 Trojan TLS 节点。

本文使用 S-UI 面板创建 Trojan TLS 节点,需要先安装面板。只想通过脚本快速部署 Trojan,不打算使用面板管理节点的用户,也可以参考 Trojan 一键脚本安装教程:适用于CentOS/Debian/Ubuntu系统

开始操作前,需要准备一个已经解析到当前 VPS 的域名,后面申请证书、设置客户端连接地址、导入订阅时,都要使用这个域名,不要直接使用服务器 IP。如果域名托管在 Cloudflare,需要把这条 DNS 记录设置为“仅 DNS”,不要开启橙色云朵代理,否则 Trojan 节点可能无法连接。

一、添加 TLS 证书并设置 ALPN

Trojan TLS 节点需要先准备证书。登录 S-UI 面板后,在左侧菜单点击“TLS 设置”,进入证书管理页面,然后点击右上角“添加”。

S-UI TLS 设置页面添加 Trojan 证书配置入口

进入 S-UI 的 TLS 设置页面,点击添加按钮,开始为 Trojan 节点创建证书配置

在“添加 TLS”窗口中,名称可以填写 trojan-tls,右上角保持选择 TLS,不要切换到 Reality。

继续找到 ACME 区域,打开“启用”开关,然后在域名输入框中填写已经解析到当前 VPS 的域名。这里填写域名,不要填写服务器 IP,因为证书需要签发给域名。

接着点击右侧“TLS 选项”,启用 ALPN。展开后只保留 Http/1.1,不要同时勾选 H2H3。确认 ACME、域名和 ALPN 都设置好以后,点击右下角“保存”。

S-UI 添加 Trojan TLS 证书并将 ALPN 设置为 Http/1.1

在 S-UI 添加 TLS 配置,启用 ACME 证书申请,并将 ALPN 设置为 Http/1.1

保存成功后,回到 TLS 设置列表,可以看到 trojan-tls 已经创建成功,并且 ACME 状态显示为确认。到这里,S-UI ACME 证书就准备好了。

S-UI TLS 设置列表显示 trojan-tls 证书配置已创建

列表中显示 trojan-tls,ACME 状态为确认

二、添加 Trojan 入站并设置客户端域名

证书模板创建完成后,进入左侧“入站管理”,点击右上角“添加”,开始创建 Trojan 入站。

Trojan TLS 需要先处理证书和域名,如果只是想先熟悉 S-UI 的入站、客户端和 Clash Verge 订阅流程,可以先参考 S-UI 面板 VMess 教程:VPS创建 VMess 节点并导入 Clash Verge

S-UI 入站管理页面添加 Trojan 入站入口

进入 S-UI 入站管理页面,点击添加按钮开始创建 Trojan 入站

在“添加入站”窗口中,类型选择 Trojan,面板会自动生成一个入站标签,例如 trojan-35088

监听地址保持默认 :: 即可,端口可以使用面板自动生成的端口,也可以改成自己准备好的端口,本文使用 35088 作为操作端口。

这里不要打开“启用传输”,保持传输关闭,然后在 TLS 区域的模板下拉框中选择前面创建的 trojan-tls

S-UI 添加 Trojan 入站并选择 trojan-tls TLS 模板

在 S-UI 添加 Trojan 入站,设置监听端口并选择 trojan-tls 证书模板

服务端页面设置完成后,先不要点击保存,直接切换到上方的“客户端”标签页。

在“客户端”页面找到“多域名”,点击右侧的加号,面板会新增一组服务器地址和服务器端口。这里把服务器地址填写为已经解析到当前 VPS 的域名,服务器端口保持 35088

这一步会影响后面生成的 S-UI Clash 订阅内容。正确配置后,订阅里的 server 应该是域名,而不是服务器 IP。如果这里仍然使用 IP,Trojan TLS 连接时可能会出现证书不匹配,最后表现为 Timeout

S-UI Trojan 入站客户端页面设置多域名服务器地址

在 S-UI 的 Trojan 入站客户端页面添加多域名地址,把服务器地址改成已解析到 VPS 的域名

确认 Trojan 类型、端口、传输状态、TLS 模板和多域名地址都设置完成后,点击右下角“保存”。

保存成功后,入站管理列表中会出现 trojan-35088,并且 TLS 状态显示为启用,此时“用户管理”数量还是 0,说明还没有绑定客户端用户。

S-UI 入站管理列表显示 Trojan 入站已创建并启用 TLS

TLS 已启用,用户管理数量暂时为 0

三、创建 Trojan 客户端用户

入站创建完成后,还需要创建客户端用户,点击左侧菜单的“用户管理”,进入用户管理页面,然后点击右上角“添加”。

S-UI 用户管理页面添加 Trojan 客户端入口

进入 S-UI 用户管理页面,点击添加按钮开始创建 Trojan 客户端用户

在“添加客户端”窗口中,保持“启用”开启,名称可以填写 trojan-user,流量填写 0,到期时间保持“无限”。

在“入站标签”里选择刚才创建的 trojan-35088,这样这个客户端就会绑定到 Trojan 入站。

S-UI 添加 Trojan 客户端并绑定 trojan-35088 入站标签

在 S-UI 添加客户端页面填写 Trojan 客户端名称,并选择 trojan-35088 入站标签

切换到“配置”选项卡后,面板会自动生成 Trojan 使用的密码,这里保持自动生成即可,不需要手动修改。

S-UI Trojan 客户端配置页面自动生成连接密码

进入 S-UI Trojan 客户端配置页面后,面板会自动生成连接密码,保持默认即可

确认客户端名称、入站标签和密码配置后,点击右下角“保存”。保存完成后,用户管理列表中会出现 trojan-user,并且“入站管理”数量显示为 1

S-UI 用户管理列表显示 Trojan 客户端已创建并绑定入站

保存客户端后返回用户管理列表,可以看到 Trojan 客户端已经创建并绑定到入站

四、复制 Clash 订阅链接

客户端创建并绑定完成后,进入“用户管理”页面,在 trojan-user 这一行的操作区域点击二维码按钮。

二维码窗口分为“订阅”和“链接”两个页面。使用 Clash Verge 时,进入“订阅”页面,找到 Clash 订阅二维码,点击二维码即可复制订阅链接。

S-UI Trojan 客户端订阅页面中的 Clash 订阅二维码

点击复制 Clash Verge 订阅链接

Clash 订阅链接格式类似下面这样:http://自己的域名:2096/sub/trojan-user?format=clash

其中 2096 是 S-UI 的订阅端口,trojan-user 是前面创建的客户端名称,?format=clash 表示输出 Clash 可识别的订阅格式。

这里要分清楚:2096 是订阅端口,用来下载配置;35088 才是本文创建的 Trojan TLS 节点连接端口。订阅地址使用 http,不代表 Trojan TLS 节点没有加密。

五、导入 Clash Verge 并测试 Trojan 节点

打开 Clash Verge,进入左侧“订阅”页面,把刚才复制的 Clash 订阅链接粘贴进去,然后点击“导入”。

Clash Verge 导入 S-UI Trojan Clash 订阅链接

在 Clash Verge 订阅页面粘贴 S-UI Trojan 的 Clash 订阅链接,然后点击导入

导入成功后,订阅列表中会出现 trojan-user 这个订阅配置。

Clash Verge 订阅列表显示已导入的 S-UI Trojan 订阅

导入成功后,Clash Verge 订阅列表会显示 trojan-user 订阅配置

接着进入左侧“代理”页面,可以看到 trojan-35088 节点。点击测速后,如果节点右侧出现延迟数字,说明 S-UI Trojan TLS 节点已经可以被 Clash Verge 正常连接。

Clash Verge 代理页面显示 S-UI Trojan 节点测速延迟

导入 S-UI Trojan 订阅后,Clash Verge 代理页面可以看到 Trojan 节点并测出延迟

需要使用这个节点时,选中 trojan-35088,然后回到首页开启系统代理。开启后,浏览器和系统应用就可以通过这个 Trojan TLS 节点访问网络。

Clash Verge 首页显示 S-UI Trojan 当前节点并开启系统代理

在 Clash Verge 首页选择 S-UI Trojan 节点,并开启系统代理后即可通过该节点访问网络

S-UI 里不同协议的订阅导入方式比较接近,后续想继续创建 Shadowsocks 节点的用户,可以参考 S-UI 面板搭建 Shadowsocks 节点教程:导入 Clash Verge 订阅,同样可以通过 Clash 订阅导入客户端。

六、常见问题

如果按照上面的步骤操作后,Clash Verge 仍然无法测速,先不要重新安装 S-UI,也不要急着重建节点。VPS 搭建 Trojan 出错时,重点检查域名解析、端口放行、证书申请、ALPN 设置和订阅里的服务器地址。

1. Clash Verge 显示 Timeout 怎么办?

先检查 Trojan 入站端口是否放行,例如本文使用的是 35088。如果端口不通,客户端会直接超时,可以在本地电脑测试域名和端口是否能连接。

2. 端口通了还是 Timeout 怎么办?

如果端口是通的,继续检查 TLS 设置里的 ALPN。本文实测需要在 trojan-tls 模板中启用 ALPN,并只保留 Http/1.1

3. 为什么要在客户端页面填写域名?

因为 Trojan TLS 使用的是域名证书。如果订阅里的 server 还是 IP,客户端连接时会拿 IP 去校验证书,容易导致证书不匹配。在“客户端”页面把服务器地址改成域名后,订阅里生成的服务器地址才会和证书域名一致。

4. Clash 订阅地址用 http 会不会影响 Trojan TLS?

不会。http://自己的域名:2096/sub/trojan-user?format=clash 是 S-UI 的订阅地址,用来下载配置,真正的 Trojan TLS 节点连接端口是 35088,两者不是同一个端口。

5. TLS 设置里的“允许不安全”要不要开启?

不要开启。这里不是客户端跳过证书验证,而是服务端 TLS 模板选项,正确做法是让域名、证书和订阅地址对应起来,而不是靠“允许不安全”绕过问题。

6. Trojan 入站需要启用 WebSocket 传输吗?

本文不启用 WebSocket 传输,直接使用 Trojan + TLS,这样配置项更少,也更适合先把基础 Trojan TLS 节点跑通。

7. 想用 SOCKS5 代理,不想导入 Clash 订阅怎么办?

如果只是想在软件里填写代理地址、端口、用户名和密码,不需要配置 Trojan TLS 证书和订阅链接,可以参考 S-UI 面板搭建 SOCKS5 代理教程,SOCKS 入站与用户密码设置

8. 只想给浏览器设置 HTTP 代理怎么办?

Trojan TLS 更适合通过 Clash Verge 这类客户端使用,如果只是想在浏览器里填写代理地址、端口、用户名和密码,可以参考 S-UI 面板 HTTP代理配置教程:HTTP入站设置与浏览器使用方法

七、总结

以上就是 S-UI Trojan TLS 教程的完整流程。Trojan 节点不只是创建入站,还要处理 TLS 证书、ALPN 和客户端连接地址,先在 S-UI TLS 设置中申请证书并把 ALPN 设置为 Http/1.1,再创建 Trojan 入站并绑定 trojan-tls 模板。

添加 Trojan 入站时,需要在同一个窗口切换到“客户端”页面,把多域名服务器地址设置为域名,然后再保存入站。后面创建 trojan-user 客户端,复制 Clash 订阅导入 Clash Verge,节点能测出延迟并开启系统代理,就说明这个 VPS 搭建 Trojan 节点的流程已经跑通。

Just My Socks 套餐对比与选择
选择提示如果您只是想直接使用代理服务,不想自己购买 VPS、安装系统和维护环境,可以优先考虑搬瓦工官方出品的 Just My Socks
自己搭建上网环境虽然自由,但面对晚高峰线路抽风和 AI 工具(如 Gemini、ChatGPT)频繁的 IP 封锁,维护成本其实很高。如果你想追求极致的省心和纯净度,搬瓦工官方机场(Just My Socks)是目前最好的替代方案。
搬瓦工机场不仅自带 CN2 GIA 高速线路,更重要的是 IP 权重高,能完美解锁各类主流 AI 权限。
下面是目前搬瓦工机场 JMS 详细的套餐介绍:
机房位置带宽流量设备价格购买
洛杉矶 5002.5Gbit500GB/月5台$5.88/月-$58.88/年购买
洛杉矶 10005Gbit1T/月无限$9.88/月-$98.88/年购买
洛杉矶 50005Gbit5T/月无限$48.99/月-$489.99/年购买
洛杉矶 100005Gbit10T/月无限$93.99/月-$948.99/年购买
香港 CMI+NTT2.5Gbps500GB/月5台$8.99/月-$89.99/年购买
香港 CMI+NTT5Gbps1T/月无限$14.90/月-$113.99/年购买
香港 CMI+NTT5Gbps5T/月无限$59.99/月-$599.99/年购买
香港 IPLC 专线300MB 独享300GB/月3台$21.00/月-$210.00/年购买
香港 IPLC 专线1G 独享1T/月无限$59.00/月-$589.00/年购买
香港 CN2 GIA100MB 独享100GB/月3台$34.99/月-$349.99/年购买
香港 CN2 GIA500MB 独享500GB/月5台$149.99/月-$1499.99/年购买
香港 CN2 GIA1G 独享1T/月无限$279.99/月-$2799.99/年购买
日本 CN2 GIA100MB 独享100GB/月3台$29.99/月-$299.99/年购买
日本 CN2 GIA200MB 独享500GB月5台$135.99/月-$1349.99/年购买
日本 CN2 GIA500MB 独享1T/月无限$239.00/月-$2399.00/年购买
日本 CN2 GIA700MB 独享5T/月无限$1135.00/月-$11395.00/年购买
伦敦 5002.5Gbps500GB/月5台$6.8/月-$67.99/年购买
伦敦 10005Gbps1T/月无限$11.29/月-$113.99/年购买
伦敦 50005Gbps5T/月无限$59.99/月-$559.99/年购买
需要 VPS 服务器?Just My Socks 更适合直接使用代理服务;如果您需要建站、部署项目、搭建环境或学习 Linux,可以选择搬瓦工 VPS,参考 搬瓦工在售 VPS 套餐整理与购买推荐
未经允许不得转载:搬瓦工教程 » S-UI 面板 Trojan TLS 搭建教程:证书、ALPN 与 Clash Verge 实测
Vultr 最新优惠活动:新用户注册 Vultr 赠送 50-100 美元

Just My Socks (JMS) 官方线路深度解析与稳定上网方案

搬瓦工官方出品,专为解决网络封锁而生。支持被封自动更换 IP,无需担心失联。拥有 IPLC 专线与 CN2 GIA 顶级链路,全线套餐现货在售。使用专属优惠码 JMS9248225 (5.2% 循环折扣),即刻畅享极速互联。

JMS 套餐汇总JMS 购买教程