Jitsi Meet Android 客户端连接自建服务器失败的排查与解决

问题背景

在使用自建Jitsi Meet服务器时，用户发现通过Android应用无法创建或加入会议室，而通过Windows电脑的浏览器则可以正常连接。系统运行在Linux Mint 22.1上，使用Docker部署Jitsi Meet服务。

环境配置

用户采用了以下网络配置：

• 路由器端口转发设置：TCP 80、443、8443端口和UDP 10000端口
• 使用Let's Encrypt证书，通过certbot获取
• 自定义端口8443，因为443端口已被其他服务占用
• 使用Docker Compose部署，自定义了my-docker-compose.yml文件

问题现象

Android客户端尝试连接时立即显示"您已断开连接"的错误提示。值得注意的是：

• 浏览器访问工作正常
• 之前Chromebook也有类似问题，后发现是DNS解析问题
• 配置文件中SSL证书路径映射可能有误

排查过程

1. 检查配置文件：确认config.js配置正常，未发现明显问题
2. 验证服务状态：确认服务在需要时能正常启动
3. 证书验证：虽然浏览器显示证书有效，但移动端仍无法连接
4. 端口配置：确认8443端口映射正确

根本原因

问题出在SSL证书的映射配置上。用户错误地将cert.pem文件映射到了cert.crt位置，而实际上应该映射fullchain.pem文件。虽然浏览器能接受这种配置，但Android应用对证书链的要求更为严格。

解决方案

1. 修改Docker Compose配置，将fullchain.pem正确映射到cert.crt位置
2. 确保私钥文件也正确映射
3. 重启Jitsi Meet服务使配置生效

修改后的配置示例如下：

volumes:
  - /etc/letsencrypt/live/yourdomain.com/fullchain.pem:/config/keys/cert.crt
  - /etc/letsencrypt/live/yourdomain.com/privkey.pem:/config/keys/cert.key

经验总结

1. 移动端与浏览器的差异：移动应用对SSL证书的要求通常比浏览器更严格
2. 证书链完整性：必须提供完整的证书链(fullchain.pem)，而不仅是终端证书
3. 端口配置：虽然可以使用非标准端口，但必须确保所有组件都正确配置
4. 测试验证：部署后应使用多种客户端进行测试，包括移动设备和不同浏览器

最佳实践建议

1. 使用标准的443端口可以避免许多兼容性问题
2. 确保证书包含完整的信任链
3. 定期更新证书并验证配置
4. 考虑使用自动化工具监控服务状态和证书有效期
5. 在变更配置后，进行全面测试，包括不同设备和网络环境

通过这次问题排查，我们了解到在自建视频会议服务时，SSL证书的正确配置至关重要，特别是当服务需要支持多种客户端平台时。正确的证书链配置是确保服务可靠性的关键因素之一。