S’applique à
Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition Exchange Server 2016 Standard Edition Exchange Server 2016 Enterprise Edition Exchange Server 2019

Symptômes

Prenons l’exemple du scénario suivant :

  • Dans un environnement Exchange Server, un site web Outlook Web App ou Exchange Panneau de configuration (ECP) est configuré pour utiliser l’authentification basée sur les formulaires (FBA).

  • Un utilisateur entre un nom d’utilisateur et un mot de passe de boîte aux lettres valides.

Lorsque l’utilisateur se connecte à Outlook Web App ou ECP dans ce scénario, il est redirigé vers la page FBA. Il n’y a pas de message d’erreur. En outre, dans le journal HttpProxy\Owa, les entrées pour « /owa » indiquent que « CorrelationID=<vide> ; NoCookies=302" a été retourné pour les demandes ayant échoué. Plus haut dans le journal, les entrées pour « /owa/auth.owa » indiquent que l’utilisateur a été authentifié avec succès.

Cause

Ce problème peut se produire si le site web est sécurisé par un certificat qui utilise un fournisseur de stockage de clés (KSP) pour son stockage de clé privée via CNG (Cryptography Next Generation). Exchange Server ne prend pas en charge les certificats CNG/KSP pour la sécurisation d’Outlook Web App ou d’ECP. Un fournisseur de services de chiffrement (CSP) doit être utilisé à la place. Vous pouvez déterminer si la clé privée est stockée dans le KSP à partir du serveur qui héberge le site web affecté. Vous pouvez également vérifier cela si vous disposez du fichier de certificat qui contient la clé privée (pfx, p12).

Comment utiliser CertUtil pour déterminer le stockage de clé privée

Si le certificat est déjà installé sur le serveur, exécutez la commande suivante :

certutil -store my <CertificateSerialNumber>Si le certificat est stocké dans un fichier pfx/p12, exécutez la commande suivante :  

certutil <CertificateFileName>Dans les deux cas, la sortie du certificat en question affiche les éléments suivants :  

Provider = Microsoft Storage Key Provider

Résolution

Pour résoudre ce problème, migrez le certificat vers un fournisseur de solutions cloud ou demandez un certificat CSP à votre fournisseur de certificats.Remarque Si vous utilisez un fournisseur de solutions cloud ou un fournisseur de solutions clés d’un autre fournisseur de logiciels ou de matériel, contactez le fournisseur approprié pour obtenir les instructions appropriées. Par exemple, vous devez le faire si vous utilisez un fournisseur de chiffrement SChannel Microsoft RSA et si le certificat n’est pas verrouillé dans un KSP.

  1. Sauvegardez votre certificat existant, y compris la clé privée. Pour plus d’informations sur la procédure à suivre, consultez Export-ExchangeCertificate.

  2. Exécutez la commande Get-ExchangeCertificate pour déterminer quels services sont actuellement liés au certificat.

  3. Importez le nouveau certificat dans un fournisseur csp en exécutant la commande suivante : certutil -csp « Microsoft RSA SChannel Cryptographic Provider » -importpfx <CertificateFilename>

  4. Exécutez Get-ExchangeCertificate pour vous assurer que le certificat est toujours lié aux mêmes services.

  5. Redémarrez le serveur.

  6. Exécutez la commande suivante pour vérifier que la clé privée du certificat est maintenant stockée avec un fournisseur de solutions Cloud : certutil -store my <CertificateSerialNumber>

La sortie doit maintenant afficher les éléments suivants :  

Provider = Microsoft RSA SChannel Cryptographic Provider

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.