Sintomi
Considerare lo scenario descritto di seguito:
-
In un ambiente Exchange Server, un sito Web di Outlook Web App o Exchange Pannello di controllo (ECP) è configurato per l'uso dell'autenticazione basata su moduli.
-
Un utente immette un nome utente e una password validi per la cassetta postale.
Quando l'utente accede a Outlook Web App o ECP in questo scenario, viene reindirizzato alla pagina FBA. Nessun messaggio di errore. Inoltre, nel log HttpProxy\Owa, le voci per "/owa" mostrano che "CorrelationID=<vuoto>; NoCookies=302" è stato restituito per le richieste non riuscite. Nelle versioni precedenti del log, le voci di "/owa/auth.owa" indicano che l'utente è stato autenticato correttamente.
Causa
Questo problema può verificarsi se il sito Web è protetto da un certificato che usa un provider di archiviazione chiave (KSP) per l'archiviazione delle chiavi private tramite crittografia di nuova generazione (CNG). Exchange Server non supporta i certificati CNG/KSP per la protezione di Outlook Web App o ECP. In alternativa, è necessario usare un CSP (Cryptographic Service Provider). È possibile determinare se la chiave privata è archiviata nel KSP dal server che ospita il sito Web interessato. È anche possibile verificare questo se si dispone del file di certificato che contiene la chiave privata (pfx, p12).
Come usare CertUtil per determinare l'archiviazione della chiave privata
Se il certificato è già installato nel server, eseguire il comando seguente:
certutil -store my <CertificateSerialNumber>Se il certificato è archiviato in un file pfx/p12, eseguire il comando seguente:
certutil <CertificateFileName>In entrambi i casi, l'output per il certificato in questione è il seguente:
Provider = Provider chiave di archiviazione Microsoft
Risoluzione
Per risolvere questo problema, eseguire la migrazione del certificato a un CSP o richiedere un certificato CSP al provider di certificati.Nota Se si utilizza un CSP o un KSP di un altro fornitore di software o hardware, contattare il fornitore pertinente per le istruzioni appropriate. Ad esempio, è necessario eseguire questa operazione se si usa un provider di crittografia SChannel Di Microsoft RSA e se il certificato non è bloccato in un KSP.
-
Eseguire il backup del certificato esistente, inclusa la chiave privata. Per altre informazioni su come eseguire questa operazione, vedere Export-ExchangeCertificate.
-
Eseguire il comando Get-ExchangeCertificate per determinare quali servizi sono attualmente associati al certificato.
-
Importare il nuovo certificato in un CSP eseguendo il comando seguente: certutil -csp "Provider di crittografia Microsoft RSA SChannel" -importpfx <CertificateFilename>
-
Eseguire Get-ExchangeCertificate per assicurarsi che il certificato sia ancora associato agli stessi servizi.
-
Riavviare il server.
-
Eseguire il comando seguente per verificare che il certificato abbia ora la chiave privata archiviata con un CSP: certutil -store my <CertificateSerialNumber>
L'output dovrebbe ora mostrare quanto segue:
Provider = Provider di crittografia SChannel Microsoft RSA