Trojan 部署中常见的 TLS 协议握手错误分析

作为一名长期折腾代理服务的 IT 博主，我在 Trojan 部署过程中踩过最多的坑就是 TLS 握手错误。今天就来分享几个典型错误场景和解决方案，希望能帮你少走弯路。

1. 证书链不完整导致握手失败

第一次部署 Trojan 时，我遇到了 “certificate verify failed” 错误。经过排查发现是证书链不完整导致的。现代浏览器和客户端会验证整个证书链，如果中间证书缺失就会握手失败。

验证证书完整性的方法：

openssl s_client -connect your-domain.com:443 -showcerts

如果输出中只看到站点证书而缺少中间证书，就需要重新配置。我推荐使用 acme.sh 自动管理证书：

acme.sh --install-cert -d your-domain.com 
--key-file /path/to/private.key 
--fullchain-file /path/to/fullchain.cer

2. SNI 配置不当引发的问题

有次客户反馈连接不稳定，我在服务端日志看到大量 “wrong version number” 错误。这其实是 SNI（Server Name Indication）配置问题。

在 Trojan 配置中，确保 ssl 段正确指定 SNI：

{
  "run_type": "server",
  "local_addr": "0.0.0.0",
  "local_port": 443,
  "remote_addr": "127.0.0.1",
  "remote_port": 80,
  "password": ["your_password"],
  "ssl": {
    "cert": "/path/to/fullchain.cer",
    "key": "/path/to/private.key",
    "sni": "your-domain.com"
  }
}

注意：sni 字段必须与证书的域名完全一致，包括子域名。

3. 协议版本和密码套件不匹配

某次安全扫描后，我禁用了 TLS 1.1，结果部分客户端无法连接。这是因为客户端和服务端支持的 TLS 版本和密码套件不匹配。

测试服务端支持的协议版本：

nmap --script ssl-enum-ciphers -p 443 your-domain.com

在 Nginx 配置中（如果使用 Nginx 反代），可以这样调整：

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

4. 时间不同步导致的证书验证失败

这个错误最隐蔽！有次客户端报 “certificate is not yet valid”，排查半天发现是服务器时间比实际时间慢了 10 分钟。

立即同步时间：

timedatectl set-ntp true
systemctl restart systemd-timesyncd

建议配置自动时间同步，避免此类问题：

# 检查时间同步状态
timedatectl status

5. 防火墙和端口配置错误

看似简单却经常被忽略的问题。记得有次部署后始终无法握手，最后发现是云服务商的安全组没开 443 端口。

快速检查端口是否开放：

telnet your-domain.com 443
# 或者使用 nc
nc -zv your-domain.com 443

如果使用 UFW：

ufw allow 443/tcp
ufw reload

调试技巧和实用命令

经过多次实战，我总结了一套调试流程：

# 1. 检查证书有效性
openssl x509 -in /path/to/cert.crt -text -noout

# 2. 模拟 TLS 握手
openssl s_client -connect your-domain.com:443 -servername your-domain.com

# 3. 查看 Trojan 服务日志
journalctl -u trojan -f

# 4. 检查端口监听状态
ss -tlnp | grep 443

希望这些经验能帮你快速定位和解决 TLS 握手问题。记住，耐心和细致的日志分析是解决网络问题的关键！