加密通信软件Signal是开源的,安全性很高,号称斯诺登也推荐大家使用。
编译
言归正传,继续说Signal服务端。首先,Signal Server目前的代码是2.92版本,既然有工程文件pom.xml,那就用Maven编译好了。仓库地址是https://github.com/signalapp/Signal-Server/。
mvn install -DskipTests
编译这个版本的代码需要用JDK 11+,如果用低版本的JDK(比如Ubuntu 16.04中的),Maven会报一个和数字11有关的错误,如果不熟悉的话,这个看似莫名其妙的错误信息可能会让你挠头半天,算一个坑。编译的最终产物是TextSecureServer-3.21.jar。
寻找别人的安装经验指南
编译好了,接下来要部署了。先谷歌一下关键字Signal Sever + Install/Deploy,引用最多的是一篇1.88版本的安装指南:《Signal Server Installation Guide》。猜测这位同学可能是要用这个帖子做导流来收取一些咨询费的,所以没写那么细。但在没有官方文档的情况下,这个指南也是一个很好的开始了(此处掌声致谢),只能先按这个搞。
配置的总入口:模板文件sample.yml
把Signal Server代码仓库中的配置模板文件sample.yaml拿出来,改名为config.yml,按上面这个指南配置,会发现3.21 的配置项有了一些变化。后面的事实会证明,代码仓库中的这个yml模板,是很老的版本,和代码根本不匹配,照这个配几乎无用。
第三方接口的帐号申请
先搜罗一下yml中需要申请的第三方接口的帐号,挨个申请。
要申请的帐号清单:
- Twilio 用于短信等功能。messagingServicesId的申请页面和account的页面不在一起,万一没找到,messagingServicesId先填个假的。
- S3 亚马逊S3,用于图床CDN、聊天的附件等。
- SQS 亚马逊SQS,消息队列。
- reCAPTCHA 谷歌reCAPTCHA,用于识别机器人。
- GCM 谷歌推送服务。谷歌早已从GCM切换到FCM,无法再申请到GCM帐号。试了一下用谷歌FCM的帐号填写在那里也没报错,但没实际测试对安卓手机的推送功能是否正常。
- APN 苹果推送服务。
配置服务器的域名
没有域名的话,买一个。HTTPS/WSS(WebSocket Secure)服务都是需要校验域名对应的证书的,Twilio服务的反向连接也需要配置域名。
安装Redis
sudo apt-get install -y redis-server
修改配置文件:
sudo vi /etc/redis/redis.conf
重启Redis:
sudo systemctl restart redis.service
安装PostgreSQL
安装数据库软件,创建数据库,创建帐号:
sudo apt-get install postgresql postgresql-contrib -y
sudo -u postgres psql -c "CREATE DATABASE accountsdb"
sudo -u postgres psql -c "CREATE DATABASE messagedb"
sudo -u postgres psql -c "CREATE DATABASE abusedb"
sudo -u postgres psql -c "CREATE DATABASE readdb"
sudo -u postgres psql -c "CREATE USER signal \
WITH ENCRYPTED PASSWORD 'password'"
修改数据库配置:
sudo vi /etc/postgresql/13/main/postgresql.conf
1、将 listen_addresses='localhost' 改为 listen_addresses='*'
2、启用数据库的密码认证。尾部追加一行,内容为:
host all all 0.0.0.0/0 md5
重启数据库:
sudo systemctl restart postgresql
安装coturn---webrtc协议的一个实时语音聊天
开启防火墙tcp和udp的3478端口,udp也要开。
安装
apt-get install libevent-dev
apt-get install libevent2
下载安装github上的coturn
https://github.com/coturn/coturn
安装coturn并生成证书:
openssl req -x509 -newkey rsa:2048 -keyout /etc/turn_server_pkey.pem -out /etc/turn_server_cert.pem -days 99999 -nodes
编辑配置文件:
sudo vi /etc/turnserver.conf
配置下面的字段:
$ sudo find / -name ssl-dhparams.pem
/usr/lib/python3/dist-packages/certbot/ssl-dhparams.pem
listening-ip=
external-ip=
use-auth-secret
static-auth-secret=
user=user1:password1
realm=服务器的完整域名
cert=/etc/turn_server_cert.pem
pkey=/etc/turn_server_pkey.pem
cli-password=
dh-file=/usr/lib/python3/dist-packages/certbot/ssl-dhparams.pem
配置好之后,启动
turnserver -a -f -user=zjf:123456 -r www.lxrtalk.com
然后用下面的页面测试coturn的基本功能:
https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/
注意:coturn有两套认证机制,一套是用户名、密码的,一套是共享密钥(secret)。其中共享密钥是给REST接口使用的,Signal Server要用到共享密钥。而测试coturn基本功能时使用的页面只支持用户名+密码的认证方式,而且coturn是优先使用共享密钥的,也就是说如果同时配了共享密钥、用户名+密码的话,在上面这个测试页面中是测试不过的。所以要先禁用共享密钥的设置,等在上面的这个页面中测试通过后,再把共享密钥的配置恢复。
配置好共享密钥后,启动daemon:
<
