증상
다음과 같은 경우를 생각해 볼 수 있습니다.
-
환경에서 Exchange Server FBA(폼 기반 Outlook Web App Exchange 제어판) 웹 사이트가 구성됩니다.
-
사용자가 유효한 사서함 사용자 이름 및 암호를 입력합니다.
사용자가 이 시나리오에서 Outlook Web App 또는 ECP에 로그온하면 FBA 페이지로 리디렉션됩니다. 오류 메시지가 없습니다.
또한 HttpProxy\Owa 로그에서 "/owa"에 대한 항목은 "CorrelationID=<>. 실패한 요청에 대해 NoCookies=302"가 반환됩니다. 로그의 앞부분에서 "/owa/auth.owa"에 대한 항목은 사용자가 성공적으로 인증된 것을 나타냅니다.
원인
이 문제는 CNG(Cryptography Next Generation)를 통해 개인 키 저장소에 대해 KSP(Key Storage 공급자)를 사용하는 인증서에 의해 웹 사이트를 보호하는 경우 발생할 수 있습니다.
Exchange Server 또는 ECP 보안에 대한 CNG/KSP 인증서를 Outlook Web App 없습니다. 대신 CSP(암호화 서비스 공급자)를 사용해야 합니다. 영향을 받는 웹 사이트를 호스트하는 서버에서 개인 키가 KSP에 저장되어 있는지 여부를 확인할 수 있습니다. 개인 키(pfx, p12)를 포함하는 인증서 파일이 있는 경우 이 파일을 확인할 수 있습니다.
CertUtil을 사용하여 개인 키 저장소를 확인하는 방법
인증서가 서버에 이미 설치되어 있는 경우 다음 명령을 실행합니다.
certutil -store my <CertificateSerialNumber>인증서가 pfx/p12 파일에 저장되어 있는 경우 다음 명령을 실행합니다.
certutil <CertificateFileName>경우 해당 인증서에 대한 출력에는 다음이 표시됩니다.
공급자 = Microsoft Storage 키 공급자
해결 방법
이 문제를 해결하려면 인증서를 CSP로 마이그레이션하거나 인증서 공급자에서 CSP 인증서를 요청합니다.
참고 다른 소프트웨어 또는 하드웨어 공급업체에서 CSP 또는 KSP를 사용하는 경우 관련 공급업체에 문의하여 적절한 지침을 참조하세요. 예를 들어 Microsoft RSA SChannel 암호화 공급자를 사용하는 경우 및 인증서가 KSP에 잠겨 있지 않은 경우 이 작업을 해야 합니다.
-
개인 키를 포함하여 기존 인증서를 백업합니다. 이 작업을 하는 방법에 대한 자세한 내용은 Export-ExchangeCertificate 를 참조하세요.
-
Get-ExchangeCertificate 명령을 실행하여 현재 인증서에 바인딩된 서비스를 확인할 수 있습니다.
-
다음 명령을 실행하여 새 인증서를 CSP로 가져오기합니다.
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
인증서가 Get-ExchangeCertificate 서비스에 여전히 바인딩되어 있는지 확인을 실행합니다.
-
서버를 다시 시작합니다.
-
다음 명령을 실행하여 인증서에 CSP와 함께 저장된 개인 키가 있는지 확인합니다.
certutil -store my <CertificateSerialNumber>
이제 출력에 다음이 표시됩니다.
공급자 = Microsoft RSA SChannel 암호화 공급자
