Nach UCS 4.2-2 (-3) Upgrade: System Fehlerdiagnose "File '/etc/univention/ssl/ucs-sso.domain.local' does not exist."

ssl
single_sign-on
sso

#1

Hallo,

ich erinnere mich daran, dass SSO vor mehr als einem Jahr mal nach einem UCS Upgrade den Start von Apache verhindert hat. An die Lösung mag ich mich nicht mehr erinnern, möglicherweise wurde die Seite einfach aus Apache entfernt. Nun bringt die Fehlerdiagnose jedoch:

File '/etc/univention/ssl/ucs-sso.domain.local' does not exist.

Das ist richtig:

root@ucs:~# ls -l /etc/univention/ssl/ucs-sso* /etc/simplesamlphp/ucs-sso*
ls: Zugriff auf /etc/univention/ssl/ucs-sso* nicht möglich: Datei oder Verzeichnis nicht gefunden
-rw-r--r-- 1 root samlcgi 5413 Feb 29  2016 /etc/simplesamlphp/ucs-sso.domain.local-idp-certificate.crt
-rw-r----- 1 root samlcgi 1675 Feb 29  2016 /etc/simplesamlphp/ucs-sso.domain.local-idp-certificate.key
root@ucs:~#

Die Anleitung aus https://help.univention.com/t/single-sign-on-setup-failed-join-script-fails-with-various-errors/6678 mit:

univention-run-join-scripts --force --run-scripts 91univention-saml.inst
  ucr commit /etc/apache2/sites-available/univention-saml

…bringt leider auch nichts. Manuell kann ich die Zertifikate wohl nicht erstellen, wie in https://forge.univention.org/bugzilla/show_bug.cgi?id=39386 diskutiert…

Zudem führt das obige Problem zu

Ungültiges Zertifikat '/etc/simplesamlphp/ucs-sso.domain.local-idp-certificate.crt' gefunden: /etc/simplesamlphp/ucs-sso.domain.local-idp-certificate.crt: C = XY, ST = XY, L = XY, O = XY, OU = Univention Corporate Server, CN = ucs-sso.domain.local, emailAddress = ssl@domain.local error 20 at 0 depth lookup:unable to get local issuer certificate

Hat jemand eine Idee, um diesen Fehler zu bereinigen?

VG,
TP


#2

Die Zertifikate können mittlerweile via UCR konfiguriert werden:
http://errata.software-univention.de/ucs/4.2/170.html

Ggf. mal mit einer frischen Installation vergleichen?