Symptômes
Prenons l’exemple du scénario suivant :
-
Dans un Exchange Server, un site web Outlook Web App ou du Panneau de configuration Exchange (ECP) est configuré pour utiliser l’authentification basée sur les formulaires.
-
Un utilisateur entre un nom d’utilisateur et un mot de passe de boîte aux lettres valides.
Lorsque l’utilisateur se connecte Outlook Web App ou ecp dans ce scénario, il est redirigé vers la page FBA. Il n’y a pas de message d’erreur.
En outre, dans le journal HttpProxy\Owa, les entrées de « /owa » indiquent que « CorrelationID=<empty> ; NoCookies=302 " a été renvoyé pour les demandes d’échec. Plus tôt dans le journal, les entrées pour « /owa/auth.owa » indiquent que l’utilisateur a été correctement authentifié.
Cause
Ce problème peut se produire si le site web est sécurisé par un certificat qui utilise un fournisseur de clés Stockage (KSP) pour son stockage de clés privées via la technologie de chiffrement de nouvelle génération (CNG).
Exchange Server ne prend pas en charge les certificats CNG/KSP pour la sécurisation de Outlook Web App ou ecp. Un fournisseur de services cryptographiques (CSP) doit être utilisé à la place. Vous pouvez déterminer si la clé privée est stockée dans le KSP à partir du serveur qui héberge le site web concerné. Vous pouvez également vérifier cela si vous avez le fichier de certificat contenant la clé privée (pfx, p12).
Comment utiliser CertUtil pour déterminer le stockage de clés privées
Si le certificat est déjà installé sur le serveur, exécutez la commande suivante :
certutil -store my <CertificateSerialNumber>Si le certificat est stocké dans un fichier pfx/p12, exécutez la commande suivante :
certutil <CertificateFileName>dans les deux cas, la sortie du certificat en question affiche ce qui suit :
Fournisseur = Fournisseur de Stockage Microsoft
Résolution
Pour résoudre ce problème, migrez le certificat vers un fournisseur de solutions Internet ou demandez un certificat Fournisseur de solutions Solutions Solutions à votre fournisseur de certificats.
Remarque Si vous utilisez un fournisseur de logiciels Fournisseur de logiciels ou fournisseur de matériel d’un autre fournisseur, contactez le fournisseur approprié pour obtenir les instructions appropriées. Par exemple, vous devez le faire si vous utilisez un fournisseur de chiffrement SChannel Microsoft RSA et si le certificat n’est pas verrouillé dans un fournisseur de services Internet.
-
Remontez jusqu’à la fin de votre certificat existant, y compris la clé privée. Pour plus d’informations sur la façon de faire, voir Export-ExchangeCertificate.
-
Exécutez la Get-ExchangeCertificate pour déterminer quels services sont actuellement liés au certificat.
-
Importez le nouveau certificat dans un programme CSP en exécutant la commande suivante :
certutil -csp « Microsoft RSA SChannel Cryptographic Provider » -importpfx <CertificateFilename> -
Exécutez Get-ExchangeCertificate pour vous assurer que le certificat est lié aux mêmes services.
-
Redémarrez le serveur.
-
Exécutez la commande suivante pour vérifier que la clé privée du certificat est désormais stockée dans un programme CSP :
certutil -store my <CertificateSerialNumber>
La sortie doit maintenant afficher les résultats suivants :
Fournisseur = Fournisseur cryptographique Microsoft RSA SChannel
