HOWTo: Let's Encypt mit UCS und Mattermost --> Zertifikate richtig einbinden

UCS - Univention Corporate Server
,
#1

Hi - wollte den Feiertag nutzen um Mattermost in meiner UCS Umgebung zum laufen zu bekommen.

Umgebung:

  • UCS Master 4.3.1 (229) --> UCS1
  • UCS DomainControler Slave 4.3.1 (229) --> UCS3 (mit Kopano)
  • UCS DomainControler Slave 4.3.1 (229) --> UCS4 (mit Kopano WebApp)
  • UCS DomainControler Slave 4.3.1 (235) --> UCS5 (mit Mattermost + Let’s Encrypt)
  • iPad mit Mattermost App
  • interne UCS Domaine --> domaine.local (Zertifikat UCS)
  • externe Domaine --> domaine.selfhost.me (Zertifikat Let’s Encrypt)

1# Mattermost funktioniert auf dem UCS5 und wird per default https://ucs5.domaine.local:8234 (intern) und https://ucs5.domaine.selfhost.me:8234 (extern) via Browser angesprochen.

2# Mattermost wurde nur mit dem Kopano Mail-Server (UCS3) verbunden - ansonsten sind alle Einstellungen Default (Hinweis - die eMail Verifizierung sollte man erst einschalten wenn die eMail Einstellungen angepasst wurden).

3# Dann habe ich Let’s Encypt auf UCS5 installiert und die Domaine domaine.selfhost.me eingetragen. Nachdem ich auch Port 80 auf der Firewall für dieses System freigeschaltet hatte, wurde der Vorgang Erfolgreich abgeschlossen.

4# Next Step war dann der Versuch die Mattermost App auf dem iPad mit dem Mattermost Server (UCS5) zu verbinden - was dann leider nicht funktioniert hat.

Fehlerbild:
a# Die Mattermost App auf dem iPad fragt nach der URL des Servers - jedoch erhalte ich (egal ob die interne oder externe verwendet wird) die Fehlermeldung, dass “The certificate for this server is invalid”.

b# Darauf hin habe ich via Browser mir anzeigen lassen welches Zertifikat denn da verwendet wird.

192.168.123.109 uses an invalid security certificate.
The certificate is only valid for domain.selfhost.me.
Error code: SSL_ERROR_BAD_CERT_DOMAIN

c# Die Abfrage via SSH (openssl s_client -connect 192.168.123.109:443) zeigt nur das Let’s Encrypt Zertifikat

d# Die Abfrage via SSH (openssl s_client -connect domain.selfhost.me:8234) zeigt nur das UCS Zertifikat

PS: Den Haken in der Let’s Encypt App für Apache ist gesetzt - Apache sowie der Server selber wurde auch neu gestartet - Ergebnisse bleiben. Search im Forum ergab leider auch keine Lösung.

Frage:
Was übersehe ich - was mache ich falsch das trotz Rückmeldung Let’s Encrypt (alles OK) ich via Browser und Mattermost iPad App einen Zertifikatsfehler erhalte (Browser Chrome und FireFox).

Freue mich auf gute Ideen und Lösungsansätze.

FYI: Ich verwende keine Zusatzsoftware auf den UCS Systemen die nicht über UCS zum Download angeboten wird - und würde das auch gerne so lassen.

Wenn mehr Infos benötigt werden - bitte melden.

Vielen Dank vorab

Pepe

#2

Die Mattermost App bekommt nichts davon mit ob sich die Dateien hinter apache2/ssl/* verändert haben (was ja passiert wenn die Lets Encrypt App das erste mal installiert und ausgeführt wird). Damit der vHost auch die neue Zertifikatsdatei nutzt muss einmal im App Center auf “App Settings” geklickt werden und dann dort einmal auf “Speichern” (geändert werden muss nichts), oder auf der cli einfach univention-app configure mattermost ausführen.

Danach sollte für c# und d# dasselbe Zertifikat genutzt werden.

PS: ich empfehle dennoch die Nutzung auf einer dedizierten Domain. Das ist über die Settings ja auch möglich und in der Let Encrypt App muss dafür auch nur eine zusätzliche Domain eingetragen werden.

#3

Klasse - das war die Lösung.

Nach univention-app configure mattermost funktioniert die Abfrage via Browser und auf dem iPad OHNE eine Zertifikatsfehlermeldung.

BINGO - der Tag ist gerettet - DANKE

Pepe

Mastodon