Lets Encrypt und office-365

Servus in die Runde,

bei einer Neuinstallation des UCS 5 und nach der Installation von Lets Encrypt liefert der M365 Einrichtungsassistent nach wie vor das UCS-Zertifikat aus und nicht wie erforderlich das Lets Encrypt Zertifikat. Die Schritte aus Renewing the SSL certificates habe ich sinngemäß ausgeführt. D.h.:

• Das Lets-Encrypt Zertifikat und den Schlüssel nach /etc/simplasamlephp kopiert und dabei umbenannt
• univention saml neugestartet
• rm -f /usr/share/univention-management-console/saml/idp/*.xml
• ucr set umc/saml/idp-server=…
• service univention-management-console-web-server restart
• univention-run-join-scripts --force --run-scripts 92univention-management-console-web-server.inst

Alles ist fehlerfei durchgelaufen.

Nach meinem Verständnis des Artikels Howto: Re-Initialize O365 After Certificate Change sollte der M365-Konnektor mit dem Zertifikat aus /etc/simplesamlphp arbeiten.

Kann mir jemand bei diesem Problem helfen, bzw. mir das erklären? Danke für die Unterstützung.

Ich habe nun den Fehler gefunden. Man darf nicht nach der Anleitung zum “Renewing” der SSL-Zertifikate vorgehen und muss die Zertifikate so belassen wie und wo sie sind. Zu dem Vorgehen nach der genannten Anleitung bin ich gekommen, weil vorher die Metadata.php nicht erreichbar war. Das Ursprungsproblem, das mich dazu führte war aber offenbar eine Fehlkonfiguration der vHosts im Apache nach der Installation der Letsencrypt App. Das Problem wurde hier bereits schonmal behandelt:

https://help.univention.com/t/sso-lets-encrypt/14626/2

Ich habe den Workaround des letzten Posts angewendet:
Löschen des univention-letsencrypt vhosts und Korrektur des Zertifikatspfades im univention-saml vhost. Danach funktioniert dass SSO und die metadata.php war erreichbar.

Da das aus meiner Sicht aber nur ein Workaround ist, würde ich mich freuen, wenn Univention sich zu dem Problem und diesem Workaround äußert. Vielleicht auch dazu, ob das ein Bug oder “By Design” so ist.

Vielen Dank