3

我在 AWS 的 EC2 实例中使用 docker-compose 配置了 MongooseIM 服务器。

我打算通过以下方式通过端口 5222(mongooseim 的模块 ejabberd_c2s)上的 ELB(AWS)使用 SSL 访问一些移动客户端:

     SSL (Secure TCP) -> 5222 -> TCP -> 5222  (EC2 Instance Port)

在 ejabberd_c2s 模块配置中,我有以下内容:

    { 5222, ejabberd_c2s, [

                %%
                %% If TLS is compiled in and you installed a SSL
                %% certificate, specify the full path to the
                %% file and uncomment this line:
                %%
                {certfile, "priv/ssl/fake_server.pem"}, starttls,

                %%{zlib, 10000},
                %% https://www.openssl.org/docs/apps/ciphers.html#CIPHER_STRINGS
                %% {ciphers, "DEFAULT:!EXPORT:!LOW:!SSLv2"},
                {access, c2s},
                {shaper, c2s_shaper},
                {max_stanza_size, 65536},
                {protocol_options, ["no_sslv3"]}

               ]},

但是客户无法连接,我在服务器上得到的唯一消息是:

    mongooseim_server_dev | 10:58:25.885 [info] (#Port<0.27608>) Accepted connection {{10,0,17,246},42571} -> {{172,18,0,2},5222}
    mongooseim_server_dev | 10:58:25.885 [debug] Received XML on stream = "���yw�\��.ndEt�;�����fn�A>� n:�=5��</A
     "ngooseim_server_dev | ��kj98����g@32ED�(#
    mongooseim_server_dev | 10:58:25.885 [debug] Send XML on stream = <<"<?xml version='1.0'?><stream:stream xmlns='jabber:client' xmlns:stream='http://etherx.jabber.org/streams' id='2B421BCD2D077161' from='localhost' version='1.0'>">>
    mongooseim_server_dev | 10:58:25.886 [debug] Send XML on stream = <<"<stream:error><xml-not-well-formed xmlns='urn:ietf:params:xml:ns:xmpp-streams'/></stream:error>">>
    mongooseim_server_dev | 10:58:25.886 [debug] Send XML on stream = <<"</stream:stream>">>

Mongoose 文档没有为我提供任何解决方案,我没有看到任何人出现此错误。

任何帮助或线索?

4

1 回答 1

5

根据您的描述和 MongooseIM 日志片段,我认为客户端从一开始就开始加密连接 - 这就是“接收到的 XML”似乎是垃圾的原因。

在 XMPP 中,最初的明文连接使用STARTTLS升级为安全连接。这应该适用于带有 TCP 转发且没有 TLS 终止的 ELB,您只需要确保客户端没有从一开始就尝试使用 SSL/TLS,而是使用 STARTTLS。所有流行的 XMPP 库都应该有这个选项,它是核心 XMPP 的一部分。

[...]一旦连接打开,将 ELB TCP 放到 TCP 并通过 TLS 加密会更容易吗?

确切地。

我主要使用ELB来避免自己处理SSL,如果我不能得到它,直接将猫鼬服务器暴露在互联网上会更好吗?

ELB 不能用于普通 XMPP 的 SSL 终止。可用的选项有:

  1. ELB 转发纯 TCP,使用 MongooseIM 纯 XMPP 侦听器 - 客户端打开 TCP 连接但通过 STARTTLS 升级它,所有 EC2 实例都需要证书配置。

  2. ELB 设置为 HTTPS 终止,MongooseIM 使用 BOSH 侦听器 - BOSH 是基于 HTTP 的 XMPP,因此有一些开销,但 SSL/TLS 卸载的好处可能是值得的,EC2 实例上的证书不会让人头疼。

于 2019-01-16T10:44:44.720 回答