Kein Zugriff auf https://UMC nach Erneuern der SSL-Zertifikatskette

ucs-4-1
ssl

#1

UCS 4.1-4 errata407

Um von SHA1 nach SHA2 zu wechseln, wollte ich gestern die SSL-Zertifikatskette am (einzigen) UCS erneuern. Dazu habe ich mich an diesen Artikel gehalten: http://sdb.univention.de/content/15/50/en/erneuern-der-kompletten-ssl_zertifikatskette.html
Diese Schritte sind auch problemlos abgelaufen und ich habe abschließend den UCS erfolgreich neu gestartet. Danach ließ sich aber die Webseite des UCS weder per http noch per https aufrufen.

In der obigen Anleitung wird als abschließender Schritt das Kopieren der Zertifikate auf die angeschlossenen Systeme genannt. Diesen Schritt habe ich ausgelassen, da wir keine weiteren Univention Systeme haben.

Da es neben dem Zertifikat für den UCS noch eines für UCS-SSO in der Sicherung von /etc/univention/ssl/ gab, habe ich dieses SSO Zertifikat neu erstellt:
univention-certificate new -name ucs-sso.meinedomain -days $ssl_default_days

Nach einem erneuten Reboot ließ sich jetzt zwar die Webseite des UCS per http aufrufen, aber https funktionierte weiterhin nicht.

Zusätzlich war die Zarafa Webapp zwar per http (natürlich nicht per https) erreichbar, aber jeder Anmeldeversuch fiel wieder auf die Anmeldeseite der Webapp zurück. Der Zarafa Server dagegen funktionierte und war per z-push ansprechbar.

Ich habe jetzt erst einmal die Sicherung von /etc/univention/ssl/ zurückkopiert, um Webzugriff und Zarafa Webapp wiederherzustellen.

Allerdings weiß ich jetzt nicht mehr weiter, was ich falsch gemacht habe bzw was an Schritten noch fehlt. Hat jemand eine Idee?

Viele Grüße,
Peter


#2

Haben Sie noch eine "Sicherung" von dem Fehlversuch? Sind dort alle Zertifikate richtig erstellt worden (auch mit Inhalt)?
Ich würde sichergehen, dass beim Vorgang des Erstellen der Zertifikate nicht Fehlermeldungen aufgetreten sind, die übersehen wurden und ggf. für leere Zertifikate o.ä. gesorgt haben.


#3

Ja, ich habe noch eine Sicherung des Fehlversuchs. Die Zertifikate sind alle ohne Fehlermeldung erstellt und auch nicht leer.

Jetzt ist mir aber aufgefallen, dass beim Einhalten der obigen Anleitung im Schritt "Erneuern des DNS-Alias univention-directory-manager" mir ein Tippfehler "...direcotry..." unterlaufen ist.

Ich werde den Spass wohl erneut versuchen müssen und Tippfehler vermeiden.

Komischerweise gibt es zu univention-directory-manager überhaupt kein altes Zertifikat. Dort ist nur der ucs-master.$domainname und ucs-sso.$domainname vorhanden. Warum das?

Außerdem habe ich das Zertifikat ucs-sso.$domainname mit dem Befehl univention-certificate new und nicht renew erstellt. Spielt das eine Rolle?


#4

Ich habe jetzt die Zertifikate erneut und Tippfehler vermieden. Das Resultat ist aber dasselbe, der apache2 des UCS ist per https nicht erreichbar und dei Zarafa Webapp lässt sich auch nicht über http anmelden. Selber Fehler wie oben bereits beschrieben.


#5

Ist https wirklich nicht erreichbar oder wirft der Browser beim Zugriff eine Fehlermeldung die auf Probleme mit dem Zertifikat hindeutet?


#6

Https ist nicht erreichbar. Kein zu schwaches Zertifikat, welches sich am Browser übergehen ließe.


#7

Ich habe das Problem mit https jetzt lösen können, was sich jetzt erfolgreich aufrufen lässt. Vorher musste ich noch das alte Zertifikat im Browser löschen.

Die Ursache war, dass im ssl-Pfad ein symlink für udsCA auf ucsCA-Pfad fehlte. Das hatte ich vorher nicht gemacht,trotz Vorhandensein im Backup, da laut Univention Support DB dies udsCA nur bei UCS-System älter als 2,0 vorhanden ist. Unser System ist mit der Version 3.2 installiert worden.

Das Problem der Anmeldung in der Zarafa Webapp ‘Cannot connect to the zarafa server’ habe ich gelöst. Zarafa liefert dazu ein Script /usr/share/doc/zarafa/ssl-certificates.sh zum Erstellen von selbstsignierten Zertifikaten. Damit hat es dann geklappt.