Симптоми
Да разгледаме следния сценарий:
-
В среда на Exchange Server 2013 Outlook Web App или Exchange контролния панел (ECP) е конфигуриран да използва удостоверяване, базирано на формуляри (FBA).
-
Потребителят въведе валиден пощенски потребителско име и парола.
Когато потребител влиза в Outlook Web App или ECP в този случай, той или тя е пренасочени към страницата на FBA. Няма съобщение за грешка.
Освен това в регистрационния файл на HttpProxy\Owa, записи за "/ owa" показват, че "CorrelationID = < Празно >; NoCookies = 302" е върната на неуспешните заявки. По-рано в регистъра, записи за "/ owa/auth.owa" показват, че потребителят е удостоверена успешно.
Причина
Този проблем може да възникне, ако уеб сайтът е защитен от сертификат, който използва ключ съхранение доставчик (KSP) за своята личен ключ съхранение чрез криптография следващото поколение (CNG).
Exchange Server не поддържа CNG/KSP сертификати за осигуряване на Outlook Web App или ECP. Доставчикът на криптографски услуги (CSP) трябва да се използва. Можете да определите дали личен ключ се съхранява в KSP от сървъра, който хоства сайта засегнати. Можете също да проверите това, ако имате сертификат файла с личен ключ (на pfx, p12).
Как да използвате CertUtil за определяне на личен ключ за съхранение
Ако сертификатът вече е инсталиран на сървъра, изпълнете следната команда:
certutil-съхранение ми <CertificateSerialNumber>Ако сертификатът се съхранява в на pfx/p12 файл, изпълнете следната команда:
certutil <CertificateFileName>И в двата случая изхода за въпросния сертификат показва следното:
Доставчик на = основни доставчици на Microsoft за съхранение
Решение
За да разрешите този проблем, мигрират сертификата CSP или заявка за CSP сертификат от доставчика на сертификата.
Забележка: Ако използвате CSP или KSP от друг доставчик на софтуер или хардуер, обърнете се към съответния доставчик за съответните инструкции. Например можете да направите това, ако използвате Microsoft RSA SChannel криптографски доставчик и ако сертификатът не е заключена в KSP.
-
Направете резервно копие на съществуващ сертификат включително личен ключ. За повече информация как да направите това вижте Експортиране ExchangeCertificate.
-
Стартирате командата Get-ExchangeCertificate да определи кои услуги в момента са задължени да сертификата.
-
Импортиране на нов сертификат в CSP като изпълните следната команда:
certutil - csp "Microsoft RSA SChannel криптографски доставчик" - importpfx < CertificateFilename > -
Изпълнява Се ExchangeCertificate да се уверите, че сертификата все още е свързан с едни и същи услуги.
-
Рестартиране на сървъра.
-
Изпълнете следната команда, за да се уверите, че сертификатът вече му личен ключ съхранява с CSP:
certutil-съхранение ми <CertificateSerialNumber>
Изходът трябва да покаже следното:
Доставчик на = Microsoft RSA SChannel доставчик на криптографски
