S-UI 是一款基于 sing-box 的网页管理面板,可以在 VPS 上创建 VMess、VLESS、Trojan、Shadowsocks、Hysteria2 等多种代理节点。本文介绍如何在 S-UI 面板中搭建 Trojan TLS 节点,主要包括 TLS 证书申请、ALPN 设置、Trojan 入站创建、客户端绑定,以及导入 Clash Verge 使用。
如果 VPS 还没有安装 S-UI 面板,可以先参考 S-UI 面板安装教程:VPS 搭建 sing-box 多协议管理面板,完成面板安装和登录后,再继续配置 Trojan TLS 节点。
本文使用 S-UI 面板创建 Trojan TLS 节点,需要先安装面板。只想通过脚本快速部署 Trojan,不打算使用面板管理节点的用户,也可以参考 Trojan 一键脚本安装教程:适用于CentOS/Debian/Ubuntu系统。
开始操作前,需要准备一个已经解析到当前 VPS 的域名,后面申请证书、设置客户端连接地址、导入订阅时,都要使用这个域名,不要直接使用服务器 IP。如果域名托管在 Cloudflare,需要把这条 DNS 记录设置为“仅 DNS”,不要开启橙色云朵代理,否则 Trojan 节点可能无法连接。
一、添加 TLS 证书并设置 ALPN
Trojan TLS 节点需要先准备证书。登录 S-UI 面板后,在左侧菜单点击“TLS 设置”,进入证书管理页面,然后点击右上角“添加”。

进入 S-UI 的 TLS 设置页面,点击添加按钮,开始为 Trojan 节点创建证书配置
在“添加 TLS”窗口中,名称可以填写 trojan-tls,右上角保持选择 TLS,不要切换到 Reality。
继续找到 ACME 区域,打开“启用”开关,然后在域名输入框中填写已经解析到当前 VPS 的域名。这里填写域名,不要填写服务器 IP,因为证书需要签发给域名。
接着点击右侧“TLS 选项”,启用 ALPN。展开后只保留 Http/1.1,不要同时勾选 H2 和 H3。确认 ACME、域名和 ALPN 都设置好以后,点击右下角“保存”。

在 S-UI 添加 TLS 配置,启用 ACME 证书申请,并将 ALPN 设置为 Http/1.1
保存成功后,回到 TLS 设置列表,可以看到 trojan-tls 已经创建成功,并且 ACME 状态显示为确认。到这里,S-UI ACME 证书就准备好了。

列表中显示 trojan-tls,ACME 状态为确认
二、添加 Trojan 入站并设置客户端域名
证书模板创建完成后,进入左侧“入站管理”,点击右上角“添加”,开始创建 Trojan 入站。
Trojan TLS 需要先处理证书和域名,如果只是想先熟悉 S-UI 的入站、客户端和 Clash Verge 订阅流程,可以先参考 S-UI 面板 VMess 教程:VPS创建 VMess 节点并导入 Clash Verge。

进入 S-UI 入站管理页面,点击添加按钮开始创建 Trojan 入站
在“添加入站”窗口中,类型选择 Trojan,面板会自动生成一个入站标签,例如 trojan-35088。
监听地址保持默认 :: 即可,端口可以使用面板自动生成的端口,也可以改成自己准备好的端口,本文使用 35088 作为操作端口。
这里不要打开“启用传输”,保持传输关闭,然后在 TLS 区域的模板下拉框中选择前面创建的 trojan-tls。

在 S-UI 添加 Trojan 入站,设置监听端口并选择 trojan-tls 证书模板
服务端页面设置完成后,先不要点击保存,直接切换到上方的“客户端”标签页。
在“客户端”页面找到“多域名”,点击右侧的加号,面板会新增一组服务器地址和服务器端口。这里把服务器地址填写为已经解析到当前 VPS 的域名,服务器端口保持 35088。
这一步会影响后面生成的 S-UI Clash 订阅内容。正确配置后,订阅里的 server 应该是域名,而不是服务器 IP。如果这里仍然使用 IP,Trojan TLS 连接时可能会出现证书不匹配,最后表现为 Timeout。

在 S-UI 的 Trojan 入站客户端页面添加多域名地址,把服务器地址改成已解析到 VPS 的域名
确认 Trojan 类型、端口、传输状态、TLS 模板和多域名地址都设置完成后,点击右下角“保存”。
保存成功后,入站管理列表中会出现 trojan-35088,并且 TLS 状态显示为启用,此时“用户管理”数量还是 0,说明还没有绑定客户端用户。

TLS 已启用,用户管理数量暂时为 0
三、创建 Trojan 客户端用户
入站创建完成后,还需要创建客户端用户,点击左侧菜单的“用户管理”,进入用户管理页面,然后点击右上角“添加”。

进入 S-UI 用户管理页面,点击添加按钮开始创建 Trojan 客户端用户
在“添加客户端”窗口中,保持“启用”开启,名称可以填写 trojan-user,流量填写 0,到期时间保持“无限”。
在“入站标签”里选择刚才创建的 trojan-35088,这样这个客户端就会绑定到 Trojan 入站。

在 S-UI 添加客户端页面填写 Trojan 客户端名称,并选择 trojan-35088 入站标签
切换到“配置”选项卡后,面板会自动生成 Trojan 使用的密码,这里保持自动生成即可,不需要手动修改。

进入 S-UI Trojan 客户端配置页面后,面板会自动生成连接密码,保持默认即可
确认客户端名称、入站标签和密码配置后,点击右下角“保存”。保存完成后,用户管理列表中会出现 trojan-user,并且“入站管理”数量显示为 1。

保存客户端后返回用户管理列表,可以看到 Trojan 客户端已经创建并绑定到入站
四、复制 Clash 订阅链接
客户端创建并绑定完成后,进入“用户管理”页面,在 trojan-user 这一行的操作区域点击二维码按钮。
二维码窗口分为“订阅”和“链接”两个页面。使用 Clash Verge 时,进入“订阅”页面,找到 Clash 订阅二维码,点击二维码即可复制订阅链接。

点击复制 Clash Verge 订阅链接
Clash 订阅链接格式类似下面这样:http://自己的域名:2096/sub/trojan-user?format=clash
其中 2096 是 S-UI 的订阅端口,trojan-user 是前面创建的客户端名称,?format=clash 表示输出 Clash 可识别的订阅格式。
这里要分清楚:2096 是订阅端口,用来下载配置;35088 才是本文创建的 Trojan TLS 节点连接端口。订阅地址使用 http,不代表 Trojan TLS 节点没有加密。
五、导入 Clash Verge 并测试 Trojan 节点
打开 Clash Verge,进入左侧“订阅”页面,把刚才复制的 Clash 订阅链接粘贴进去,然后点击“导入”。

在 Clash Verge 订阅页面粘贴 S-UI Trojan 的 Clash 订阅链接,然后点击导入
导入成功后,订阅列表中会出现 trojan-user 这个订阅配置。

导入成功后,Clash Verge 订阅列表会显示 trojan-user 订阅配置
接着进入左侧“代理”页面,可以看到 trojan-35088 节点。点击测速后,如果节点右侧出现延迟数字,说明 S-UI Trojan TLS 节点已经可以被 Clash Verge 正常连接。

导入 S-UI Trojan 订阅后,Clash Verge 代理页面可以看到 Trojan 节点并测出延迟
需要使用这个节点时,选中 trojan-35088,然后回到首页开启系统代理。开启后,浏览器和系统应用就可以通过这个 Trojan TLS 节点访问网络。

在 Clash Verge 首页选择 S-UI Trojan 节点,并开启系统代理后即可通过该节点访问网络
S-UI 里不同协议的订阅导入方式比较接近,后续想继续创建 Shadowsocks 节点的用户,可以参考 S-UI 面板搭建 Shadowsocks 节点教程:导入 Clash Verge 订阅,同样可以通过 Clash 订阅导入客户端。
六、常见问题
如果按照上面的步骤操作后,Clash Verge 仍然无法测速,先不要重新安装 S-UI,也不要急着重建节点。VPS 搭建 Trojan 出错时,重点检查域名解析、端口放行、证书申请、ALPN 设置和订阅里的服务器地址。
1. Clash Verge 显示 Timeout 怎么办?
先检查 Trojan 入站端口是否放行,例如本文使用的是 35088。如果端口不通,客户端会直接超时,可以在本地电脑测试域名和端口是否能连接。
2. 端口通了还是 Timeout 怎么办?
如果端口是通的,继续检查 TLS 设置里的 ALPN。本文实测需要在 trojan-tls 模板中启用 ALPN,并只保留 Http/1.1。
3. 为什么要在客户端页面填写域名?
因为 Trojan TLS 使用的是域名证书。如果订阅里的 server 还是 IP,客户端连接时会拿 IP 去校验证书,容易导致证书不匹配。在“客户端”页面把服务器地址改成域名后,订阅里生成的服务器地址才会和证书域名一致。
4. Clash 订阅地址用 http 会不会影响 Trojan TLS?
不会。http://自己的域名:2096/sub/trojan-user?format=clash 是 S-UI 的订阅地址,用来下载配置,真正的 Trojan TLS 节点连接端口是 35088,两者不是同一个端口。
5. TLS 设置里的“允许不安全”要不要开启?
不要开启。这里不是客户端跳过证书验证,而是服务端 TLS 模板选项,正确做法是让域名、证书和订阅地址对应起来,而不是靠“允许不安全”绕过问题。
6. Trojan 入站需要启用 WebSocket 传输吗?
本文不启用 WebSocket 传输,直接使用 Trojan + TLS,这样配置项更少,也更适合先把基础 Trojan TLS 节点跑通。
7. 想用 SOCKS5 代理,不想导入 Clash 订阅怎么办?
如果只是想在软件里填写代理地址、端口、用户名和密码,不需要配置 Trojan TLS 证书和订阅链接,可以参考 S-UI 面板搭建 SOCKS5 代理教程,SOCKS 入站与用户密码设置。
8. 只想给浏览器设置 HTTP 代理怎么办?
Trojan TLS 更适合通过 Clash Verge 这类客户端使用,如果只是想在浏览器里填写代理地址、端口、用户名和密码,可以参考 S-UI 面板 HTTP代理配置教程:HTTP入站设置与浏览器使用方法。
七、总结
以上就是 S-UI Trojan TLS 教程的完整流程。Trojan 节点不只是创建入站,还要处理 TLS 证书、ALPN 和客户端连接地址,先在 S-UI TLS 设置中申请证书并把 ALPN 设置为 Http/1.1,再创建 Trojan 入站并绑定 trojan-tls 模板。
添加 Trojan 入站时,需要在同一个窗口切换到“客户端”页面,把多域名服务器地址设置为域名,然后再保存入站。后面创建 trojan-user 客户端,复制 Clash 订阅导入 Clash Verge,节点能测出延迟并开启系统代理,就说明这个 VPS 搭建 Trojan 节点的流程已经跑通。
| 机房位置 | 带宽 | 流量 | 设备 | 价格 | 购买 |
|---|---|---|---|---|---|
| 洛杉矶 500 | 2.5Gbit | 500GB/月 | 5台 | $5.88/月-$58.88/年 | 购买 |
| 洛杉矶 1000 | 5Gbit | 1T/月 | 无限 | $9.88/月-$98.88/年 | 购买 |
| 洛杉矶 5000 | 5Gbit | 5T/月 | 无限 | $48.99/月-$489.99/年 | 购买 |
| 洛杉矶 10000 | 5Gbit | 10T/月 | 无限 | $93.99/月-$948.99/年 | 购买 |
| 香港 CMI+NTT | 2.5Gbps | 500GB/月 | 5台 | $8.99/月-$89.99/年 | 购买 |
| 香港 CMI+NTT | 5Gbps | 1T/月 | 无限 | $14.90/月-$113.99/年 | 购买 |
| 香港 CMI+NTT | 5Gbps | 5T/月 | 无限 | $59.99/月-$599.99/年 | 购买 |
| 香港 IPLC 专线 | 300MB 独享 | 300GB/月 | 3台 | $21.00/月-$210.00/年 | 购买 |
| 香港 IPLC 专线 | 1G 独享 | 1T/月 | 无限 | $59.00/月-$589.00/年 | 购买 |
| 香港 CN2 GIA | 100MB 独享 | 100GB/月 | 3台 | $34.99/月-$349.99/年 | 购买 |
| 香港 CN2 GIA | 500MB 独享 | 500GB/月 | 5台 | $149.99/月-$1499.99/年 | 购买 |
| 香港 CN2 GIA | 1G 独享 | 1T/月 | 无限 | $279.99/月-$2799.99/年 | 购买 |
| 日本 CN2 GIA | 100MB 独享 | 100GB/月 | 3台 | $29.99/月-$299.99/年 | 购买 |
| 日本 CN2 GIA | 200MB 独享 | 500GB月 | 5台 | $135.99/月-$1349.99/年 | 购买 |
| 日本 CN2 GIA | 500MB 独享 | 1T/月 | 无限 | $239.00/月-$2399.00/年 | 购买 |
| 日本 CN2 GIA | 700MB 独享 | 5T/月 | 无限 | $1135.00/月-$11395.00/年 | 购买 |
| 伦敦 500 | 2.5Gbps | 500GB/月 | 5台 | $6.8/月-$67.99/年 | 购买 |
| 伦敦 1000 | 5Gbps | 1T/月 | 无限 | $11.29/月-$113.99/年 | 购买 |
| 伦敦 5000 | 5Gbps | 5T/月 | 无限 | $59.99/月-$559.99/年 | 购买 |
需要 VPS 服务器?Just My Socks 更适合直接使用代理服务;如果您需要建站、部署项目、搭建环境或学习 Linux,可以选择搬瓦工 VPS,参考 搬瓦工在售 VPS 套餐整理与购买推荐。 |
|||||

搬瓦工教程