Ejabberd服务器SSL证书配置问题排查与解决

问题背景

在使用Ejabberd XMPP服务器时，用户遇到了"Stream opening error"错误，同时伴随TLS连接失败的问题。通过分析日志发现，服务器未能正确加载SSL证书文件，导致客户端无法建立安全连接。

错误现象分析

从日志中可以观察到几个关键错误信息：

1. ACME证书申请失败，服务器返回502和404错误
2. 自签名证书被检测到，但验证失败
3. 明确的错误提示"Failed to secure c2s connection: TLS failed: no_certfile"

这些错误表明服务器虽然运行正常，但SSL/TLS配置存在问题，导致客户端无法通过安全通道连接。

根本原因

经过深入排查，发现问题的核心在于：

1. Ejabberd配置中未正确指定有效的SSL证书文件路径
2. 服务器默认使用了自签名证书，这在生产环境中不被客户端信任
3. ACME自动证书申请功能因配置不完整而失败

解决方案

要解决这个问题，需要手动配置有效的SSL证书：

1. 首先确保已从可信CA获取有效的SSL证书（如Let's Encrypt）

2. 将私钥和证书链合并为一个PEM文件：

   cat /etc/letsencrypt/live/my.site.com/privkey.pem /etc/letsencrypt/live/my.site.com/fullchain.pem > /home/ejabberd/conf/ejabberd1.pem
   

3. 在Ejabberd配置文件中，为5222和5223端口指定正确的证书路径：

   listen:
     -
       port: 5222
       module: ejabberd_c2s
       certfile: "/home/ejabberd/conf/ejabberd1.pem"
       starttls: true
     -
       port: 5223
       module: ejabberd_c2s
       certfile: "/home/ejabberd/conf/ejabberd1.pem"
       tls: true
   

验证步骤

配置完成后，可以通过以下方式验证：

1. 使用OpenSSL命令测试连接：

   openssl s_client -connect yourdomain.com:5222
   

2. 检查是否显示正确的证书信息而非自签名证书

3. 确认TLS握手过程顺利完成

4. 使用XMPP客户端测试实际连接

最佳实践建议

1. 定期更新SSL证书，设置自动续期
2. 确保证书文件权限正确（Ejabberd用户可读）
3. 在生产环境中避免使用自签名证书
4. 考虑为不同子域配置不同证书（如主域、会议子域等）
5. 定期检查证书有效期，避免意外过期

通过以上步骤，可以彻底解决Ejabberd服务器因SSL证书配置不当导致的连接问题，确保XMPP服务的安全稳定运行。