Síntomas
Imagine la siguiente situación:
-
En un Exchange Server, un sitio web Outlook Web App o Exchange de control (ECP) está configurado para usar la autenticación basada en formularios (FBA).
-
Un usuario escribe un nombre de usuario y una contraseña de buzón válidos.
Cuando el usuario inicia sesión en Outlook Web App o ECP en este escenario, se le redirige a la página FBA. No hay ningún mensaje de error.
Además, en el registro HttpProxy\Owa, las entradas de "/owa" muestran que "CorrelationID=<vacío>; NoCookies=302" se devolvió para las solicitudes con errores. Anteriormente en el registro, las entradas de "/owa/auth.owa" indican que el usuario se ha autenticado correctamente.
Causa
Este problema puede producirse si el sitio web está protegido por un certificado que usa un proveedor de claves Storage (KSP) para su almacenamiento de clave privada a través de criptografía de nueva generación (CNG).
Exchange Server no es compatible con los certificados CNG/KSP para proteger Outlook Web App o ECP. En su lugar, se debe usar un proveedor de servicios criptográficos (CSP). Puede determinar si la clave privada se almacena en el KSP desde el servidor que hospeda el sitio web afectado. También puede comprobarlo si tiene el archivo de certificado que contiene la clave privada (pfx, p12).
Cómo usar CertUtil para determinar el almacenamiento de claves privadas
Si el certificado ya está instalado en el servidor, ejecute el siguiente comando:
certutil -store my <CertificateSerialNumber>Si el certificado está almacenado en un archivo pfx/p12, ejecute el comando siguiente:
certutil <CertificateFileName>En ambos casos, el resultado del certificado en cuestión muestra lo siguiente:
Proveedor = Proveedor de Storage de claves de Microsoft
Solución
Para resolver este problema, migre el certificado a un CSP o solicite un certificado CSP a su proveedor de certificados.
Nota Si usa un CSP o KSP de otro proveedor de software o hardware, póngase en contacto con el proveedor correspondiente para obtener las instrucciones adecuadas. Por ejemplo, debe hacerlo si usa un proveedor de cifrado SChannel de Microsoft RSA y si el certificado no está bloqueado en un KSP.
-
Haga una copia de seguridad del certificado existente, incluida la clave privada. Para obtener más información sobre cómo hacerlo, vea Exportar-ExchangeCertificate.
-
Ejecute el Get-ExchangeCertificate para determinar qué servicios están enlazados actualmente al certificado.
-
Importe el nuevo certificado a un CSP ejecutando el siguiente comando:
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
Ejecute Get-ExchangeCertificate para asegurarse de que el certificado sigue enlazado a los mismos servicios.
-
Reinicie el servidor.
-
Ejecute el siguiente comando para comprobar que el certificado tiene ahora su clave privada almacenada con un CSP:
certutil -store my <CertificateSerialNumber>
El resultado ahora debería mostrar lo siguiente:
Proveedor = Proveedor de cifrado SChannel de Microsoft RSA
