Gejala
Pertimbangkan skenario berikut ini:
-
Di lingkungan Exchange Server 2013, situs Web Outlook Web App atau Panel kontrol Exchange (ECP) dikonfigurasi untuk menggunakan otentikasi berbasis formulir (FBA).
-
Pengguna masuk ke kotak surat yang valid nama pengguna dan sandi.
Saat pengguna logon ke Outlook Web App atau ECP dalam skenario ini, ia diarahkan ke halaman FBA. Ada tidak ada pesan galat.
Selain itu, dalam HttpProxy\Owa log, entri untuk "/ owa" menunjukkan bahwa "CorrelationID = < kosong >; NoCookies = 302" dikembalikan untuk permintaan gagal. Sebelumnya di log, entri untuk "/ owa/auth.owa" menunjukkan bahwa pengguna terotentikasi berhasil.
Penyebab
Masalah ini dapat terjadi jika situs Web aman dengan sertifikat yang menggunakan penyedia penyimpanan kunci (KSP) untuk penyimpanan kunci privat melalui generasi berikutnya kriptografi (CNG).
Exchange Server tidak mendukung CNG KSP sertifikat untuk mengamankan Outlook Web App atau ECP. Kriptografi Service Provider (CSP) harus digunakan sebagai gantinya. Anda dapat menentukan apakah kunci privat yang disimpan di KSP dari server sebagai inang situs yang terpengaruh. Anda juga dapat memverifikasi ini jika Anda memiliki berkas sertifikat yang berisi kunci privat (pfx, p12).
Cara menggunakan CertUtil untuk menentukan penyimpanan kunci pribadi
Jika sertifikat yang sudah diinstal di server, jalankan perintah berikut ini:
certutil-menyimpan saya <CertificateSerialNumber>Jika sertifikat yang disimpan dalam berkas pfx p12, jalankan perintah berikut ini:
certutil <CertificateFileName>Dalam kedua kasus, output sertifikat yang dimaksud menampilkan berikut ini:
Penyedia = penyedia kunci penyimpanan Microsoft
Pemecahan masalah
Untuk mengatasi masalah ini, migrasi sertifikat untuk CSP, atau meminta sertifikat CSP dari penyedia sertifikat.
Catatan Jika Anda menggunakan CSP atau KSP dari vendor perangkat lunak atau perangkat keras yang lain, hubungi vendor relevan untuk petunjuk yang sesuai. Misalnya, Anda harus melakukannya jika Anda menggunakan Microsoft RSA SChannel kriptografis penyedia dan sertifikat tidak terkunci KSP.
-
Membuat cadangan sertifikat yang sudah ada, termasuk kunci privat. Untuk informasi selengkapnya tentang cara melakukannya, lihat ExchangeCertificate ekspor.
-
Jalankan perintah Get-ExchangeCertificate untuk menentukan layanan yang saat ini terikat sertifikat.
-
Impor sertifikat baru CSP dengan menjalankan perintah berikut ini:
certutil - csp "Microsoft RSA SChannel kriptografis penyedia" - importpfx < CertificateFilename > -
Jalankan Get-ExchangeCertificate untuk memastikan bahwa sertifikat masih terikat layanan yang sama.
-
Mulai ulang server.
-
Jalankan perintah berikut ini untuk memverifikasi bahwa sertifikat sekarang memiliki kunci privat yang disimpan dengan CSP:
certutil-menyimpan saya <CertificateSerialNumber>
Output sekarang akan menampilkan berikut ini:
Penyedia = Microsoft RSA SChannel penyedia kriptografi