Problem mit SAML-Zertifikat

MyKey0815 · May 14, 2023, 1:11pm

Ich hab das Problem, das bei einem Systemcheck der Fehler ausgegeben wird:

Zertifikat https://192.168.3.90/simplesamlphp/saml2/idp/certificate konnte nicht geladen werden: Unable to load certificate. See https://cryptography.io/en/latest/faq/#why-can-t-i-import-my-pem-file for more details.

Ein Rejoin von 92univention-management-console-web-server schlägt fehl.

Ansich läuft das System soweit gut (Kopano, Fileserver - USC 5.0.3 errata664). Root-Zertifikat ist noch 3 Jahre gültig

univention-certificate dump -name ucs003090.privatelan.lan
Dump certificate: ucs003090.privatelan.lan
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = DE, ST = DE, L = DE, O = privatelan, OU = Univention Corporate Server, CN = Univention Corporate Server Root CA (ID=CNhQ9zKI), emailAddress = ssl@privatelan.lan
        Validity
            Not Before: Aug 15 14:01:29 2021 GMT
            Not After : Aug 14 14:01:29 2026 GMT

riess82 · May 15, 2023, 9:29am

Versuch die Adresse mal in einem Browser aufmachen, vielleicht sagt dir der Browser mehr zu dem Problem.

MyKey0815 · May 15, 2023, 11:04am

Nein - leider keine weiteren Infos - nur das die URL nicht gefunden werden kann (404-Error des Webservers)

riess82 · May 15, 2023, 11:53am

Ich hab leider von dem ganzen SSO nicht viel Ahnung, hatte aber mal Probleme mit dem https-Zertifikat das für das ganze SSO verwendet wurde. Was kriegst du denn wenn du https://192.168.3.90/simplesamlphp/saml2/idp/metadata.php aufrufen versuchst im Browser?

MyKey0815 · May 15, 2023, 12:19pm

Da kommt der selbe Fehler - auch ein 404-Error, dass er die URL nicht findet

riess82 · May 15, 2023, 12:29pm

Und das hatte schon funktioniert? Kontrollier bitte mal ob Apache diese Seiten überhaupt bereitstellt. Auf deinem Server 192.168.3.90 sudo apachectl -S aufrufen. Du solltest unter *:443 und unter *:80 jeweils eine Zeile finden die so ähnlich aussieht wie port XX namevhost ucs-sso.DEINE.DOMAIN (/etc/apache2/sites-enabled/univention-saml.conf:XX)

Wenn nach namevhost deine Domain steht und nirgends im ganzen Text die IP, dann kannst du diese Dateien, (also die metadata und die certificate) auch nur über den Namen erreichen und nicht über die IP. Solltest du mehrere Server (Primary und Backup) in deiner Domäne haben, prüfe bitte mit nslookup ucs-sso.DEINE.DOMAIN welche Server sich da angesprochen fühlen sollten.

MyKey0815 · May 22, 2023, 8:28am

Meine “/etc/apach2/sites-available/univention-saml.conf” fehlte komplett. Ich hab sie aus einem funktionierenden UCS kopiert und angepasst.

Danach noch im Verzeichnis “/etc/apach2/sites-enabled” den Befehl

ln -s ../sites-available/univention-saml.conf univention-saml.conf
service apache2 restart