Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
-
In einer Exchange Server-Umgebung ist eine Outlook Web App- oder Exchange-Systemsteuerungswebsite für die Verwendung der formularbasierten Authentifizierung (Forms Based Authentication, FBA) konfiguriert.
-
Ein Benutzer gibt einen gültigen Benutzernamen und ein Kennwort für das Postfach ein.
Wenn sich der Benutzer in diesem szenario Outlook Web App oder ECP anmeldet, wird er auf die FBA-Seite weitergeleitet. Es gibt keine Fehlermeldung.
Darüber hinaus zeigen Die Einträge für "/owa" im Protokoll "HttpProxy\Owa" an, dass "CorrelationID=<leer>; Für die fehlgeschlagenen Anforderungen wurde NoCookies=302" zurückgegeben. Weiter oben im Protokoll geben Einträge für "/owa/auth.owa" an, dass der Benutzer erfolgreich authentifiziert wurde.
Ursache
Dieses Problem kann auftreten, wenn die Website durch ein Zertifikat geschützt ist, das einen Key Storage Provider (KSP) für seinen privaten Schlüsselspeicher über Kryptografie der nächsten Generation (Cryptography Next Generation, CNG) verwendet.
Exchange Server unterstützt keine CNG/KSP-Zertifikate zum Sichern Outlook Web App oder ECP. Stattdessen muss ein Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) verwendet werden. Sie können vom Server, der die betroffene Website hostet, feststellen, ob der private Schlüssel im KSP gespeichert ist. Dies können Sie auch überprüfen, wenn Sie über die Zertifikatdatei verfügen, die den privaten Schlüssel enthält (pfx, s. 12).
So wird's mit CertUtil zum Ermitteln des Privaten Schlüsselspeichers
Wenn das Zertifikat bereits auf dem Server installiert ist, führen Sie den folgenden Befehl aus:
certutil -Store my <CertificateSerialNumber>Wenn das Zertifikat in einer pfx/p12-Datei gespeichert ist, führen Sie den folgenden Befehl aus:
certutil <CertificateFileName>In beiden Fällen wird in der Ausgabe für das in Frage gestellte Zertifikat Folgendes angezeigt:
Anbieter = Microsoft Storage Schlüsselanbieter
Lösung
Um dieses Problem zu beheben, migrieren Sie das Zertifikat zu einem CSP, oder fordern Sie ein CSP-Zertifikat von Ihrem Zertifikatanbieter an.
Hinweis Wenn Sie einen CSP oder KSP von einem anderen Software- oder Hardwareanbieter verwenden, wenden Sie sich an den entsprechenden Anbieter, um die entsprechenden Anweisungen zu erhalten. Dies sollten Sie z. B. tun, wenn Sie einen Microsoft RSA SChannel-Kryptografieanbieter verwenden und das Zertifikat nicht in einen KSP gesperrt ist.
-
Sichern Sie Ihr vorhandenes Zertifikat, einschließlich des privaten Schlüssels. Weitere Informationen hierzu finden Sie unter Exportieren-ExchangeCertificate.
-
Führen Sie den Get-ExchangeCertificate aus, um zu ermitteln, welche Dienste derzeit an das Zertifikat gebunden sind.
-
Importieren Sie das neue Zertifikat in einen CSP, indem Sie den folgenden Befehl ausführen:
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
Führen Get-ExchangeCertificate aus, um sicherzustellen, dass das Zertifikat weiterhin an dieselben Dienste gebunden ist.
-
Starten Sie den Server neu.
-
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der private Schlüssel des Zertifikats jetzt bei einem CSP gespeichert ist:
certutil -Store my <CertificateSerialNumber>
In der Ausgabe sollte nun Folgendes angezeigt werden:
Provider = Microsoft RSA SChannel-Kryptografieanbieter
