3X-UI 新手友好安装与配置指南：从零到一搭建专属代理服务

3X-UI 新手友好安装与配置指南：从零到一搭建专属代理服务
前言
本教程旨在引导初学者完成 3X-UI 面板的安装、安全配置，并重点讲解如何为面板启用 SSL/TLS (HTTPS) 加密访问，以及如何利用该证书配置一套稳定、高效的代理服务（即“自己偷自己”方案）。

声明：此项目及教程仅供个人学习和技术交流。请严格遵守您所在地的法律法规，勿将此用于非法用途。任何因违反此声明所产生的后果，由使用者自行承担。

第一步：准备工作——云服务器（VPS）
在开始之前，您需要一台位于海外的云服务器（VPS）。

小罗推荐超级便宜美国纽约vps（如果日常看海外视频够用了实测下载大概6mb左右每秒50mbps的网速够用了）

单核

1GB

20gb

2TB/1Gbps

$10.98/年

点击购买

购买以后会发送root密钥那些到你的邮箱， 3X-UI 新手友好安装与配置指南：从零到一搭建专属代理服务

更新系统（推荐）：使用 SSH 工具登录到您的 VPS，执行以下命令来更新系统软件，确保环境纯净。这是一个好习惯，可以避免很多后续问题。

此命令会先刷新软件列表，然后将已安装的软件升级到最新版本。

第二步：一键安装 3X-UI 面板
安装过程非常简单，只需一条命令即可。

执行安装脚本：
在 SSH 终端中，复制并粘贴以下命令，然后按回车。

bash <(curl -Ls https://raw.githubusercontent.com/xeefei/3x-ui/master/install.sh)

该命令会自动从 GitHub 下载最新的安装脚本并执行。安装过程中，您可以根据提示进行自定义设置，如果不懂，一路按回车使用默认设置即可。

第三步：核心配置——启用 SSL/TLS (HTTPS)
为了安全地访问管理面板并配置 Reality 协议，申请 SSL 证书是至关重要的一步。

前提条件：您需要拥有一个域名。

域名注册：https://www.namesilo.com/

.xyz域名是70左右10年（数字域名比如123456.xyz）

或者阿里云去注册，50多10年吧！

将您的域名（例如 panel.yourdomain.com）通过 A 记录解析到您 VPS 的 IP 地址。
在域名服务商（如 Cloudflare）的设置中，确保该解析记录的云朵图标为灰色（仅 DNS），不要开启 CDN 代理。
操作步骤：

启动 X-UI 管理脚本：
在 SSH 终端中输入 x-ui 命令，调出管理菜单。

放行关键端口：
在申请证书前，必须确保 80 和 443 端口是开放的，因为证书颁发机构需要通过这些端口来验证您的域名所有权。

在 x-ui 菜单中，选择选项 22（安装/管理 bbr/ufw）。
使用其中的防火墙管理功能，分别放行 80 和 443 端口。
同时，也请放行您计划用于登录面板的端口（默认为 2053）和后续代理服务的端口。
申请 SSL 证书：

在 x-ui 菜单中，选择选项 18（申请 SSL 证书）。
按照提示输入您已经解析好的域名，脚本将自动使用 acme.sh 工具为您申请免费的 Let’s Encrypt 证书。
申请成功后，请记下证书文件的路径，通常位于：
公钥 (Certificate File): /root/.acme.sh/your.domain.com_ecc/fullchain.cer
私钥 (Private Key File): /root/.acme.sh/your.domain.com_ecc/your.domain.com.key (请将 your.domain.com 替换为您自己的域名)
配置面板使用 HTTPS：

使用 http://<你的VPS_IP>:<面板端口> 登录 3X-UI 面板。
进入左侧的【面板设置】。
将刚刚记录的公钥和私钥路径，分别粘贴到【面板证书公钥文件路径】和【面板私钥文件路径】的输入框中。
您可以顺便在此页面修改【面板监听端口】和【面板 url 根路径】以增强安全性。
点击左上角的【保存】，然后点击【重启面板】。
现在，您应该可以通过 https://<你的域名>:<面板端口> 来安全地访问您的管理面板了。

第四步：创建代理服务 (VLESS + Reality)
利用刚刚配置好的 SSL 证书，我们可以创建一个难以被识别的 Reality 代理服务。

添加入站：
在面板左侧菜单点击【入站列表】，然后点击【+ 添加入站】。

配置协议：

协议 (Protocol)：选择 vless。
传输 (Network)：保持 tcp。
安全 (Security)：选择 reality。
配置 Reality (实现“自己偷自己”)：
这是最关键的一步。我们将流量伪装成访问您自己的 HTTPS 面板。

uTLS 指纹 (uTLS Fingerprint)：保持默认的 chrome 即可。
Dest (目标网站)：填写 127.0.0.1:<你的面板端口>。例如，如果你的面板端口是 2053，就填写 127.0.0.1:2053。
SNI (可选域名)：填写您用于登录面板的域名。
公钥/私钥：点击下方的【Get New Cert】生成一组新的密钥。
配置客户端：

创建好入站后，点击操作栏的【客户端】图标。
默认已有一个客户端，您可以点击编辑，在 Flow (流控) 选项中，选择 xtls-rprx-vision-udp443，这是一个性能优秀的推荐设置。
您可以根据需要设置流量限制、到期时间等。
获取链接并测试：
回到【入站列表】，点击操作栏的二维码或链接按钮，将节点信息导入到客户端软件（如 V2rayN, Shadowrocket 等）中进行测试。

第五步：日常维护与安全习惯
自动备份：在【面板设置】 -> 【机器人配置】中设置 Telegram 机器人，并开启【数据库自动备份】，这是数据迁移和恢复的最佳保障。
使用高位端口：创建代理服务时，尽量使用 10000-65535 之间的高位端口，避免常用端口。
多用户隔离：如果多人共享，请为每个人创建独立的入站或客户端，并使用不同的端口，避免因单一节点滥用导致整个 IP 受影响。
定期更新：留意项目更新，通过 x-ui 脚本菜单的升级选项，可以方便地更新面板版本。
至此，您已经成功搭建了一套安全、稳定且具备良好伪装性的个人代理服务。祝您使用愉快！