5

我正在尝试将 SSL 连接与x11vnc(VNC 服务器)和noVNC(VNC 客户端)一起使用。每当我尝试连接时,我都会收到来自 noVNC 的错误“Unsupported Security Types: 19,18”和“SSL: ssl_helper[2957]: exit case 2 (ssl_init failed) SSL: accept_openssl: cookie from ssl_helper[2957] FAILED. 0 “来自 x11vnc。如果我为 x11vnc 关闭 SSL,客户端可以毫无问题地连接。

我确实意识到 x11vnc 确实与基于 java 的小程序查看器打包在一起。但是,我对基于 HTML5 的 noVNC 更感兴趣。

x11vnc 和 noVNC 都在同一台机器上运行,使用以下命令:

x11vnc: x11vnc -forever -shared -unixpw_cmd [cmd] -ssl [pem]

noVNC: ./utils/websockify --ssl-only --cert=[pem] --web=./ 6080 localhost:5900

注意:两者都指向同一个 pem。我使用 websockify 而不是 noVNC 的 launch.sh 来获得更多选项,例如 --ssl-only。

noVNC 的加密选项似乎对连接到服务器没有影响(无论打开还是关闭,结果都是一样的)。

我最关心的是安全连接。到目前为止,如果必须关闭 x11vnc 的 SSL(加密选项使 noVNC 使用 wss:// 而不是 ws://),则打开 noVNC 的 encrypt 选项似乎没有多大作用。如果这确实创建了安全连接,请告诉我。否则,我怎样才能让 noVNC 和 x11vnc 与 SSL 一起工作?

4

1 回答 1

14

首先澄清一下

noVNC 和 websockify 实际上是独立的项目:

  • websockify是一个通用代理/桥接器,它允许 WebSocket 连接(例如来自浏览器)连接到原始 TCP 套接字服务(例如 VNC 服务器)。
  • noVNC是 HTML5 VNC 客户端。

如果 VNC 服务器支持 WebSocket 连接,则不需要 websockify。目前唯一支持直接 WebSocket 连接的 VNC 服务器是libvncserver 的这个分支。websockify 包含在 noVNC 中,因为大多数 VNC 服务器还不支持 WebSocket 客户端,但 websockify 是一个单独的项目

您正在处理两个不同的网络连接,每个连接都有单独的加密选项:

  1. noVNC(浏览器)到 websockify - 使用 WebSocket 协议
  2. websockify 到 x11vnc (VNC 服务器) - 直接 TCP 套接字连接

WebSocket 协议支持未加密连接 (ws://) 和 SSL/TLS 加密连接 (wss://)。

VNC 中使用的 RFB 协议(远程帧缓冲区)能够在初始化期间升级以使用加密连接。支持多种加密方法,例如 TLS(安全类型 18)、VeNCrypt(安全类型 19)。

现在回答你的问题

当您传递-ssl PEM给 x11vnc 时,这启用了 RFB/VNC 加密。noVNC 不支持 RFB/VNC 加密。Javascript 的速度不够快,无法快速进行加密/解密,无法用于 noVNC。有一些关于向 Javascript 添加加密 API 的讨论,这将使 noVNC 支持这种类型的加密。

当您在 noVNC 中启用加密时,您将启用 WebSocket 加密 (wss://)。这会加密浏览器和 websockify 之间的连接。只要 websockify 和 VNC 服务器之间的连接是通过受信任的网络(例如在同一台服务器上运行)并在 noVNC 中使用 WebSocket 加密,那么就不会暴露未加密的数据。但是,如果您在与浏览器相同的系统上运行 websockify 并且 VNC 服务器是远程的,那么从您的客户端到服务器系统的 VNC 流量将不会被加密(除非 noVNC 将来获得 RFB/VNC VeNCrypt 加密支持)。

websockify 的输出将指示 WebSocket 连接是加密的还是未加密的。

于 2011-06-18T19:59:36.467 回答