Sintomi
Considerare lo scenario descritto di seguito:
-
In un Exchange Server, un Outlook Web App o Exchange del Pannello di controllo (ECP) è configurato per l'uso dell'autenticazione basata su moduli (FBA).
-
Un utente immette un nome utente e una password validi per la cassetta postale.
Quando l'utente accede a Outlook Web App o ACP in questo scenario, viene reindirizzato alla pagina FBA. Non viene visualizzato alcun messaggio di errore.
Inoltre, nel log HttpProxy\Owa le voci per "/owa" indicano che "CorrelationID=<vuoto>; NoCookies=302" è stato restituito per le richieste non riuscite. In precedenza, le voci per "/owa/auth.owa" indicano che l'utente è stato autenticato correttamente.
Causa
Questo problema può verificarsi se il sito Web è protetto da un certificato che usa un provider di chiave Archiviazione (KSP) per l'archiviazione della chiave privata tramite Cryptography Next Generation (CNG).
Exchange Server non supporta i certificati CNG/KSP per la protezione Outlook Web App o ECP. È necessario usare un provider del servizio di crittografia (CSP, Cryptographic Service Provider). È possibile determinare se la chiave privata è archiviata nel KSP dal server che ospita il sito Web interessato. È anche possibile verificarlo se si dispone del file di certificato che contiene la chiave privata (pfx, p12).
Come usare CertUtil per determinare l'archiviazione della chiave privata
Se il certificato è già installato nel server, eseguire il comando seguente:
certutil -store my <CertificateSerialNumber>Se il certificato è archiviato in un file pfx/p12, eseguire il comando seguente:
certutil <CertificateFileName>In entrambi i casi, l'output del certificato in questione visualizza quanto segue:
Provider = Microsoft Archiviazione Key Provider
Risoluzione
Per risolvere il problema, eseguire la migrazione del certificato a un CSP o richiedere un certificato CSP al provider di certificati.
Nota Se si usa un CSP o un KSP di un altro fornitore di software o hardware, contattare il fornitore pertinente per le istruzioni appropriate. Ad esempio, è consigliabile eseguire questa operazione se si usa un provider di crittografia Microsoft RSA SChannel e se il certificato non è bloccato in un KSP.
-
Eseguire il backup del certificato esistente, inclusa la chiave privata. Per altre informazioni su come eseguire questa operazione, vedere Export-ExchangeCertificate.
-
Eseguire il Get-ExchangeCertificate per determinare quali servizi sono attualmente associati al certificato.
-
Importare il nuovo certificato in un CSP eseguendo il comando seguente:
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
Eseguire Get-ExchangeCertificate per assicurarsi che il certificato sia ancora associato agli stessi servizi.
-
Riavviare il server.
-
Eseguire il comando seguente per verificare che il certificato abbia ora la chiave privata archiviata con un CSP:
certutil -store my <CertificateSerialNumber>
L'output dovrebbe ora mostrare quanto segue:
Provider = Microsoft RSA SChannel Cryptographic Provider