Interne BBB Installation, Problem mit Root Zertifikat unter Greenlight

MeinhartEsrohr · 22. November 2022 um 14:35

Hallo liebes Forum,

ich habe folgendes Problem, ich möchte einen BBB Server für nur intern aufsetzen, die Installation von BBB hat auch super funktionietrt ( auch über Proxy ) die Docker / Composer Installation ebenfalls, die Greenloight Installation funktioniert soweit auch.

Ich habe eine Frage zu den Zertifikaten, das Internet ist voll mit diesen Problemen aber irgendwie gibt es keine sauber Lösung dafür.

Nachdem ich BBB installiert habe, konnte ich die Demo mit meinem lokalen Zertifikat, Key und dem Root CA aufrufen, nachdem ich Greenlight installiert habe und den Check durchführt habe, erhalte ich folgende Meldung:

oot@BBBServer1:~/greenlight# docker run --rm --env-file .env bigbluebutton/greenlight:v2 bundle exec rake conf:check
warning: parser/current is loading parser/ruby27, which recognizes2.7.6-compliant syntax, but you are running 2.7.5.
Please see GitHub - whitequark/parser: A Ruby parser..

Checking environment: Passed
Checking Connection: Failed
Error connecting to BigBlueButton server - SSL_connect returned=1 errno=0 state=error: certificate verify failed (unable to get local issuer certificate)
root@BBBServer1:~/greenlight#

wenn ich nun unter:

nano /etc/nginx/sites-available/bigbluebutton

ssl_certificate /home/pablo/fullchain.pem; —> Beinhaltet nur das Zertifikat
ssl_certificate_key /home/pablo/privkey.pem; → Beinhaltet nur den Key

die Fullchain.pem ändere und noch das Root CA anhänge, und den check durchführe, erhalte ich folgende Meldung:

Error connecting to BigBlueButton server - SSL_connect returned=1 errno=0 state=error: certificate verify failed (self signed certificate in certificate chain)

Ich habe jetzt mit hilfe von Forumeinträgen das Root CA in den Docker Container bekommen:

docker exec -it 938336b223 /bin/bash

ash-5.1# cd /usr/local/share/ca-certificates/
bash-5.1# wget -q --no-check-certificate https://BBBServer1/CompanyCA.crt
bash-5.1# ls -la
total 16
drwxr-xr-x 1 root root 4096 Nov 22 10:49 .
drwxr-xr-x 1 root root 4096 Nov 22 10:43 …
-rw-r–r-- 1 root root 2082 Nov 22 10:49 CompanyCA.crt
bash-5.1# update-ca-certificates
WARNING: ca-certificates.crt does not contain exactly one certificate or CRL: skipping
bash-5.1# ls -la
total 16
drwxr-xr-x 1 root root 4096 Nov 22 10:49 .
drwxr-xr-x 1 root root 4096 Nov 22 10:43 …
-rw-r–r-- 1 root root 2082 Nov 22 10:49 CompanyCA.crt
bash-5.1# wget https://BBBServer1
Connecting to BBBServer1 (192.168.1.20:443)
wget: server returned error: HTTP/1.1 307 Temporary Redirect
bash-5.1# wget https://BBBServer1/default.pdf
Connecting to BBBServer1 (192.168.1.20:443)
saving to ‚default.pdf‘
default.pdf 100% |**************************************************************************************************************| 42107 0:00:00 ETA
‚default.pdf‘ saved
bash-5.1# wget https://BBBServer1/bigbluebutton → funktioniert

Nachdem ich den Server neu gestartet habe, ist das Zertifikat wieder weg und ich erhalte im Frontend wieder die Meldung:
Endpunkt oder Schlüssel falsch.

Wenn ich das Root Zertifikat wieder in den Container kopiere, funktioniert es wieder , also nicht 100% aber so dass ich BBB Sitzungen starten könnte,

die Check Meldung :

docker run --rm --env-file .env bigbluebutton/greenlight:v2 bundle exec rake conf:check

läuft leider trotzdem nicht durch. Ich kann auch keine Webcam freigeben usw, die Check Connection muss mit „passed“ durchlaufen.

Ich hatte früher ein ähnlich Problem, dort hat mir der Eintrage
„export NODE_EXTRA_CA_CERTS=’/home/pablo/CompanyCA.crt’“
in der Datei
/usr/share/meteor/bundle/systemd_start.sh

geholfen. Dies tut es aber nicht mehr, ich kann machen was ich will, ich bekomme den check nicht durch.

Ich habe nun mit folgender Hilfe das einfügen des Root CAs automatisieren können:

FROM bigbluebutton/greenlight:v2
COPY ./home/pablo/CompanyCA.crt /root/

RUN cp /root/CompanyCA.crt /usr/local/share/ca-certificates/
&& /usr/sbin/update-ca-certificates

services:
app:
build:
context: .
dockerfile: Dockerfile
entrypoint: [bin/start]
#image: bigbluebutton/greenlight:v2

Jetzt funktioniert es wenigstens dass das Zertifikat automatisch kopiert wird.

Trotzdem bekomme ich den Fehler:

root@BBBServer1:~/greenlight# docker run --rm --env-file .env bigbluebutton/greenlight:v2 bundle exec rake conf:check
warning: parser/current is loading parser/ruby27, which recognizes2.7.6-compliant syntax, but you are running 2.7.5.
Please see GitHub - whitequark/parser: A Ruby parser..

Checking environment: Passed
Checking Connection: Failed
Error connecting to BigBlueButton server - SSL_connect returned=1 errno=0 state=error: certificate verify failed (unable to get local issuer certificate)
root@BBBServer1:~/greenlight#

Ich weiß nicht mehr weiter, hat jemand eine Idee.

Vielen Dank im Voraus.

hmt · 22. November 2022 um 15:51

verwendest Du den Installer? Sofern es einen gibt?

Tw33ki · 22. November 2022 um 18:08

Ich bin nicht sicher: verwendest du ein öffentlich gültiges Certifikat (z.B. letsencrypt)?
wenn ja, ist meistens das Problem, dass DNS im greenlight-container nicht (richtig) funktioniert, oder die CAs alt sind, dann einfach
docker-compose stop
docker-compose pull
docker-compose up -d
→ testen obs geht

nutzt du selbstsignierte Certifikate, musst du die halt irgendwie ein das Volume mounten. Ist sicherlich möglich, weiß aber nicht ob das so vorgesehen ist.

P.S.: Erfahrungsgemäß ist eine neuinstallation von BBB immer schneller wie die Reparatur. Wir schmeißen das auch immer komplett weg und hauen das Skript neu drüber. Anschließend greenlight wiederherstellen, fertig.

github.com

bigbluebutton/bbb-install/blob/master/bbb-install-2.5.sh

#!/bin/bash -e

# Copyright (c) 2022 BigBlueButton Inc.
#
# This program is free software; you can redistribute it and/or modify it under the
# terms of the GNU Lesser General Public License as published by the Free Software
# Foundation; either version 3.0 of the License, or (at your option) any later
# version.
#
# BigBlueButton is distributed in the hope that it will be useful, but WITHOUT ANY
# WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A
# PARTICULAR PURPOSE. See the GNU Lesser General Public License for more details.
#
# You should have received a copy of the GNU Lesser General Public License along
# with BigBlueButton; if not, see <http://www.gnu.org/licenses/>.

# BigBlueButton is an open source conferencing system. For more information see
#    https://www.bigbluebutton.org/.
#
# This bbb-install-2.5.sh script automates many of the installation and configuration

This file has been truncated. show original

martin.res · 22. November 2022 um 20:32

Hallo,
ich habe mal BBB in grün, also intern ausprobiert, Verfahren siehe Anwenderwiki:
https://wiki.linuxmuster.net/community/anwenderwiki:webapps:bbb_in_gruen
Grüße
Martin

MeinhartEsrohr · 23. November 2022 um 11:48

Hallo zusammen, vielen Dank für eure Antworten,

ich habe zuerst mit meiner DMZ Adresse ( freier INternetzugang ohne Proxy ) mit dem Script BBB installiert, das hat auch alles sauber funktioniert.

Mein Problem ist dass ich kein öffentliches Zertifikat habe sonder ein selbstsigniertes, denke neu installieren wäre meine letzte Option, aber es funktioniert ja soweit alles. Wenn ich mich auf die BASH vom Container verbinde, kann ich ja die BBB URL aufrufen. Verstehe es einfach nicht.

@martins.res - werde ich mir definitiv anschauen. vielen Dank.

Ein Nachtrag zu der Anleitung von @Martins.res - sau gut, mit dieser Version von BBB hatte bei mir auch alles sauber funktioniert, da kam der Fehler nicht, jetzt mit den neusten Versionen kommt der Fehler, werde aber deine Anleitung trotzdem mal vergleichen. Danke

MeinhartEsrohr · 24. November 2022 um 16:23

Vielen vielen Dank @martin.res : das hat geholfen:

cd ~/greenlight

docker-compose stop

docker commit 834a12b22dc7 bigbluebutton/greenlight:v2

docker-compose

Jetzt muss ich nur noch das Problem lösen dass die Kamera und der Bildschirm freigegeben werden kan, da bekomme ich noch den Fehler: 1107

Jesko · 25. November 2022 um 07:47

Hi
Diese Variante überlebt nur bis zum nächsten docker pull… wenn icj das jetzt richtig erfasst habe

Ich würde die Datei als volume in den container mounten. Dann hast du Ruhe.

Nutzt du docker-compose?
oder startest du den container mit docker run?

LG Jesko

MeinhartEsrohr · 30. November 2022 um 09:26

Vielen Dank für deine Antwort, wir nutzen docker-compose. Das mit dem mounten muss ich mir mal anschauen.

Ich habe noch eine kleine Frage, weiß einer ob die Möglichkeit besteht die Umfragefunktion unter BBB zu deaktivieren ? wollte dafür jetzt kein neuen Thread erstellen.

VIelen Dank.

baumhof · 30. November 2022 um 09:48

Hallo,

Ich habe noch eine kleine Frage, weiß einer ob die Möglichkeit besteht
die Umfragefunktion unter BBB zu deaktivieren ? wollte dafür jetzt kein
neuen Thread erstellen.

bisher hab ich in BBB immer alles konfigurieren können: meist halt nur
eben in irgend einer settings Datei in den untiefen des Verzeichnisbaums.
Da würde ich im BBB Forum suchen: da hab ich das dann bisher immer gefunden.

LG

Holger

MeinhartEsrohr · 30. November 2022 um 10:19

Danke dir, habe jetzt mal in den Google Forums ein Beitrag erstellt. FInde diese Groups zwar total unübersichtlich aber ich denke ich werde bestimmt eine Antwort erhalten.

Vielen Dank

MeinhartEsrohr · 2. Dezember 2022 um 12:13

@martin.res hast du zufällig auch eine Anleitung wie man für intern einen TurnServer einrichtet ? ich habe die Anleitung auf der BBB Seite verfolgt, aber der 443 Port kommt nicht hoch. Ich habe einen externen laufen, der funktioniert mit der gleichen Konfiguration ohne Probleme.