Ich habe nun den Fehler gefunden. Man darf nicht nach der Anleitung zum “Renewing” der SSL-Zertifikate vorgehen und muss die Zertifikate so belassen wie und wo sie sind. Zu dem Vorgehen nach der genannten Anleitung bin ich gekommen, weil vorher die Metadata.php nicht erreichbar war. Das Ursprungsproblem, das mich dazu führte war aber offenbar eine Fehlkonfiguration der vHosts im Apache nach der Installation der Letsencrypt App. Das Problem wurde hier bereits schonmal behandelt:
https://help.univention.com/t/sso-lets-encrypt/14626/2
Ich habe den Workaround des letzten Posts angewendet:
Löschen des univention-letsencrypt vhosts und Korrektur des Zertifikatspfades im univention-saml vhost. Danach funktioniert dass SSO und die metadata.php war erreichbar.
Da das aus meiner Sicht aber nur ein Workaround ist, würde ich mich freuen, wenn Univention sich zu dem Problem und diesem Workaround äußert. Vielleicht auch dazu, ob das ein Bug oder “By Design” so ist.
Vielen Dank