Hallo zusammen,
ich habe hier auf einer Suse Leap 15.2 eine Nextcloud INstanz laufen. Zur Unterstützung von Nextcloud Talk versuche ich jetzt, den TURN-Server coturn ans Laufen zu bringen für Verbindungen durch Firewalls.
Da ich auf der Instanz auch Zertifikate von Letsencrypt im Einsatz habe, möchte ich auch coturn via TLS unter Nutzung der Zertifikate verwenden. Da es bei coturn Schwierigkeiten beim Zugriff auf die von Letsencrypt generierten Zertifikate via symlink ins /etc/letsencrypt/archive-Verzeichnis gibt, habe ich testweise die aktuellen Zertifikate nach /etc/coturn neben die Konfiguration "turnserver.conf" kopiert. Die Zertifikatze habe ich dem Benutzer Coturn zugewiesen (chown coturn:coturn...) und alle auf 664 gesetzt.
In turnserver.conf wurden die Pfade entsprechend für cert / pkey auf /etc/coturn... gesetzt.

dennoch finde ich im Logfile die folgende Fehlermeldung:

0: WARNING: cannot find certificate file: /etc/coturn/cert.pem (1)
0: WARNING: cannot start TLS and DTLS listeners because certificate file is not set properly
0: WARNING: cannot find private key file: /etc/coturn/privkey.pem (1)
0: WARNING: cannot start TLS and DTLS listeners because private key file is not set properly
0: WARNING: cannot find DH key file: /etc/coturn/dhparams.pem (1)


Hat hier jemand Coturn mit Zertifikaten von Letsencrypt auf Suse Leap am Laufen und hat dieses Problem ggf. nicht?
Ich bin für jeden Hinweis dankbar. Ich verstehe jetzt wirklich nicht mehr, warum er selbst auf die ins coturn Verzeichnis und dem User zugewiesenen Zertifikate nicht zugreifen kann...

Danke und Grüße,
Martin

was sagt denn ein
ls -la /etc/coturn/cert.pem
ls -la /etc/coturn/privkey.pem
ls -la /etc/coturn/dhparams.pem

In /etc/coturn:

ls -la
insgesamt 48
drwxrwxr-- 1 root coturn 136 27. Dez 17:10 .
drwxr-xr-x 1 root root 6000 25. Dez 09:44 ..
-rw-r--r-- 1 coturn coturn 2325 27. Dez 17:08 cert.pem
-rw-r--r-- 1 coturn coturn 1647 27. Dez 17:08 chain.pem
-rw-r--r-- 1 coturn coturn 769 27. Dez 17:08 dhparams.pem
-rw-r--r-- 1 coturn coturn 3972 27. Dez 17:08 fullchain.pem
-rw------- 1 coturn coturn 3272 27. Dez 17:08 privkey.pem
-rw-r----- 1 root coturn 26811 27. Dez 17:10 turnserver.conf

Sieht nach einem permission Problem aus:
https://github.com/coturn/coturn/issues/496

In dem von Dir verlinkten Ticket geht es um ein Problem mit Zertifikaten, die im Letsencrypt Verzeichnispfad liegen und dort korrekterweise nur von Root zugreifbar sind. Das ganz mit der Frage, zu welchem Zeitpunkt coturn seine Rootrechte verliert und auf den user coturn wechselt.
Das ist so bei mir nicht übertragbar, da ich die Zertifikate in das /etc/coturn verzeichnis kopiert und die Ownership auf coturn geändert habe.

Welche Berechtigungsproblematik soll da jetzt noch vorliegen? Ich kann das nicht nachvollziehen.

Grüße,
Martin

Aus der Service Definition (/usr/lib/systemd/system/coturn.service):


[Service]
User=coturn
Group=coturn


Aus der /etc/coturn/turnserver.conf:

...
proc-user=coturn
proc-group=coturn
cert=/etc/coturn/cert.pem
pkey=/etc/coturn/privkey.pem
...


ps -aux zeigt mir einen Eintrag:

coturn 10750 0.0 0.0 673072 7392 ? Ssl 23:06 0:00 /usr/bin/turnserver -o -c /etc/coturn/turnserver.conf --pidfile /run/

Hm. Hast Du https://github.com/coturn/coturn/issues/268#issuecomment-453853409 schon mal geprüft?

Über den Hinweis bin ich auch gestolpert und habe zumindest die pfadangaben für cert, dh und privkey auf Leerzeichen am Ende geprüft. Ohne Erfolg.
Die anderen 800 Zeilen habe ich noch nicht geprüft. Dachte aber bisher, dass das auf die Pfade keine Auswirkungen haben könnte...

Hallo,

sind denn die Certs/Keys in PEM Format?

Laut https://github.com/coturn/coturn/blob/master/examples/etc/turnserver.conf : "Use PEM file format."

Entweder das Format mit openssl zu PEM konvertieren oder zuerst mit selfsigned CA und damit signierten Zertifikaten in PEM versuchen.