加密通信软件Signal-Server 3.21版本编译安装折腾手记（Ubuntu 20.04.2 LTS）

加密通信软件Signal是开源的，安全性很高，号称斯诺登也推荐大家使用。

编译

言归正传，继续说Signal服务端。首先，Signal Server目前的代码是2.92版本，既然有工程文件pom.xml，那就用Maven编译好了。仓库地址是https://github.com/signalapp/Signal-Server/。

mvn install -DskipTests

编译这个版本的代码需要用JDK 11+，如果用低版本的JDK(比如Ubuntu 16.04中的)，Maven会报一个和数字11有关的错误，如果不熟悉的话，这个看似莫名其妙的错误信息可能会让你挠头半天，算一个坑。编译的最终产物是TextSecureServer-3.21.jar。

寻找别人的安装经验指南

编译好了，接下来要部署了。先谷歌一下关键字Signal Sever + Install/Deploy，引用最多的是一篇1.88版本的安装指南：《Signal Server Installation Guide》。猜测这位同学可能是要用这个帖子做导流来收取一些咨询费的，所以没写那么细。但在没有官方文档的情况下，这个指南也是一个很好的开始了(此处掌声致谢)，只能先按这个搞。

配置的总入口：模板文件sample.yml

把Signal Server代码仓库中的配置模板文件sample.yaml拿出来，改名为config.yml，按上面这个指南配置，会发现3.21 的配置项有了一些变化。后面的事实会证明，代码仓库中的这个yml模板，是很老的版本，和代码根本不匹配，照这个配几乎无用。

第三方接口的帐号申请

先搜罗一下yml中需要申请的第三方接口的帐号，挨个申请。
要申请的帐号清单：

• Twilio           用于短信等功能。messagingServicesId的申请页面和account的页面不在一起，万一没找到，messagingServicesId先填个假的。
• S3               亚马逊S3，用于图床CDN、聊天的附件等。
• SQS             亚马逊SQS，消息队列。
• reCAPTCHA  谷歌reCAPTCHA，用于识别机器人。
• GCM            谷歌推送服务。谷歌早已从GCM切换到FCM，无法再申请到GCM帐号。试了一下用谷歌FCM的帐号填写在那里也没报错，但没实际测试对安卓手机的推送功能是否正常。
• APN             苹果推送服务。

配置服务器的域名

没有域名的话，买一个。HTTPS/WSS(WebSocket Secure)服务都是需要校验域名对应的证书的，Twilio服务的反向连接也需要配置域名。

安装Redis

sudo apt-get install -y redis-server

 修改配置文件：

sudo vi /etc/redis/redis.conf

重启Redis：

sudo systemctl restart redis.service

安装PostgreSQL

安装数据库软件，创建数据库，创建帐号：

sudo apt-get install postgresql postgresql-contrib -y
sudo -u postgres psql -c "CREATE DATABASE accountsdb"
sudo -u postgres psql -c "CREATE DATABASE messagedb"
sudo -u postgres psql -c "CREATE DATABASE abusedb"
sudo -u postgres psql -c "CREATE DATABASE readdb"
sudo -u postgres psql -c "CREATE USER signal \
WITH ENCRYPTED PASSWORD 'password'"

修改数据库配置：

sudo vi /etc/postgresql/13/main/postgresql.conf

1、将 listen_addresses='localhost'  改为  listen_addresses='*'

2、启用数据库的密码认证。尾部追加一行，内容为：
     host all all 0.0.0.0/0 md5

重启数据库：

sudo systemctl restart postgresql

安装coturn---webrtc协议的一个实时语音聊天

开启防火墙tcp和udp的3478端口，udp也要开。

安装

apt-get install libevent-dev

apt-get install libevent2

下载安装github上的coturn

https://github.com/coturn/coturn

安装coturn并生成证书：

openssl req -x509 -newkey rsa:2048 -keyout /etc/turn_server_pkey.pem -out /etc/turn_server_cert.pem -days 99999 -nodes 

编辑配置文件：

sudo vi /etc/turnserver.conf

配置下面的字段：

$ sudo find / -name ssl-dhparams.pem
/usr/lib/python3/dist-packages/certbot/ssl-dhparams.pem

listening-ip=
external-ip=
use-auth-secret
static-auth-secret=
user=user1:password1
realm=服务器的完整域名
cert=/etc/turn_server_cert.pem
pkey=/etc/turn_server_pkey.pem
cli-password=
dh-file=/usr/lib/python3/dist-packages/certbot/ssl-dhparams.pem

配置好之后，启动

turnserver  -a -f -user=zjf:123456 -r www.lxrtalk.com 

然后用下面的页面测试coturn的基本功能：

https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/

注意：coturn有两套认证机制，一套是用户名、密码的，一套是共享密钥(secret)。其中共享密钥是给REST接口使用的，Signal Server要用到共享密钥。而测试coturn基本功能时使用的页面只支持用户名+密码的认证方式，而且coturn是优先使用共享密钥的，也就是说如果同时配了共享密钥、用户名+密码的话，在上面这个测试页面中是测试不过的。所以要先禁用共享密钥的设置，等在上面的这个页面中测试通过后，再把共享密钥的配置恢复。

配置好共享密钥后，启动daemon：

<