SSO & Let's Encrypt

Hallo,

wir haben ein Test-Setup mit einem DC Master und einem Memberserver (NextCloud). nach der Grundinstallation der beiden Systeme haben wir zuerst Let’s Encrypt unstalliert und dort zwei Domains eingetragen:
www.domain.de und ucs-sso.domain.de

Leider führt der SSO Link aus nextcloud dann auf einen 404 bei dem SAML redirect auf die ucs-sso Seite.

Nehme ich ucs-sso aus let’s encrypt wieder raus, funktioniert der redirect wieder - aber das Zertifikat ist ungültig.

Hat jemand ein paar Tipps, welche Files / Templates ich anpassen muss, damit ich auch SSO mit Let’s Encrypt absichern kann?

Vielen Dank

Mat

Hallo,

ich hatte das gleiche Problem, scheinbar gibt es einen Konflikt zwischen der Apache VHost Konfiguration für simplesamlphp und dem Let’s Encrypt Zertifikat. Ich habe das Problem umgangen indem ich die URL für SSO von “ucs-sso.” auf den FQDN des Servers umgestellt habe, die Anleitung dazu findet sich hier:

Achtung: nach Ausführen der Anleitung wurden die Let’s Encrypt Zertifikate für den Webserver deaktiviert. Das kann Rückgängig gemacht werden über folgenden Befehl:

ucr set apache2/ssl/certificate=/etc/univention/letsencrypt/signed_chain.crt apache2/ssl/key=/etc/univention/letsencrypt/domain.key

Ich bin noch zu neu mit dem Univention um wirklich sagen zu können, inwieweit das trägt, aber bei mir hat folgendes funktioniert:

• Zertifikat von Letsencryt mit /usr/share/univention-letsencrypt/refresh-cert-cron für ucs-sso.deine-domain.de (oder wie auch immer) erzeugen lassen.
• In in /etc/apache2/sites-available/univention-letsencrypt.conf ist dann ein VirtualHost für ucs-sso.deine-domain.de angelegt. Den entfernen.
• In /etc/apache2/sites-available/univention-saml.conf die Pfade für SSLCertificateFile und SSLCertificateKeyFile auf das Letsencrypt-Zertifikat (wie in univention-letsencrypt.conf) umstellen und SSLCACertificateFile entfernen/auskommentieren.

Kann jemand einschätzen, ob das eine “richtige” Lösung ist? Wie wäre der Weg, die Änderung in die Sourcen von Univention zu bekommen?