Příznaky
Jde o takovouto situaci:
-
V prostředí Exchange Server 2013 webu aplikace Outlook Web App nebo Exchange Control Panel (ECP) je nakonfigurován pro použití ověřování na základě formulářů (FBA).
-
Uživatel zadá poštovní schránky platné uživatelské jméno a heslo.
Když se uživatel přihlásí k aplikaci Outlook Web App nebo ECP v tomto scénáři, mu je přesměrován na stránku FBA. Neexistuje žádná chybová zpráva.
Navíc v protokolu HttpProxy\Owa položky "/ owa" vyplývá, že "CorrelationID = < Prázdný >; NoCookies = 302" vrátil selhání požadavků. Starší protokol položky v "/ owa/auth.owa" označuje, že uživatel byl úspěšně ověřen.
Příčina
Tomuto problému může dojít, pokud webu jsou zabezpečena pomocí certifikátu, který používá zprostředkovatele úložiště klíčů (KSP) pro soukromé úložiště klíčů pomocí Cryptography Next Generation (CNG).
Exchange Server nepodporuje CNG/KSP certifikáty pro zabezpečení aplikace Outlook Web App nebo ECP. Místo toho je nutné použít poskytovatele pro kryptografických služeb (CSP). Můžete určit, zda je soukromý klíč uložen v KSP ze serveru, který je hostitelem ohrožený web. Můžete také ověřit to pokud máte soubor certifikátu, který obsahuje soukromý klíč (pfx, p12).
Způsob použití příkazu CertUtil určit úložiště soukromých klíčů
Pokud certifikát je již nainstalována na serveru, spusťte následující příkaz:
certutil-Uložit mé <CertificateSerialNumber>Pokud je certifikát uložen v souboru pfx nebo p12, spusťte následující příkaz:
příkaz certutil <CertificateFileName>V obou případech zobrazí následující výstup pro daný certifikát:
Zprostředkovatel Microsoft úložiště klíčů zprostředkovatele =
Řešení
Chcete-li tento problém vyřešit, zprostředkovateli kryptografických služeb migrace certifikát nebo žádost CSP certifikát od poskytovatele certifikátů.
Poznámka: Pokud používáte zprostředkovatele kryptografických služeb nebo KSP od jiného dodavatele hardwaru nebo softwaru, obraťte se na příslušného dodavatele příslušné pokyny. Například bude třeba provést při použití Microsoft RSA SChannel Cryptographic Provider a pokud certifikát není uzamčena do KSP.
-
Zálohujte existující certifikát včetně privátního klíče. Další informace o tomto postupu naleznete v tématu Export ExchangeCertificate.
-
Spusťte příkaz Get-ExchangeCertificate určit služby, které jsou aktuálně navázány na osvědčení.
-
Nový certifikát importujte do zprostředkovatele kryptografických služeb pomocí následujícího příkazu:
certutil - csp "Microsoft RSA SChannel Cryptographic Provider" - importpfx < CertificateFilename > -
Spusťte Get-ExchangeCertificate a ujistěte se, že je certifikát stále vázán na stejné služby.
-
Restartujte server.
-
Spusťte následující příkaz, chcete-li ověřit, že certifikát má nyní soukromého klíče uloženy pomocí zprostředkovatele kryptografických služeb:
certutil-Uložit mé <CertificateSerialNumber>
Výstup byste nyní měli vidět následující:
Zprostředkovatel Microsoft RSA SChannel Cryptographic Provider =