Symptomer
Vurder følgende scenario:
-
I et Exchange Server miljø er et Outlook Web App- eller Exchange Kontrollpanel-nettsted (ECP) konfigurert til å bruke skjemabasert godkjenning (FBA).
-
En bruker angir et gyldig brukernavn og passord for postboksen.
Når brukeren logger på Outlook Web App eller ECP i dette scenarioet, omdirigeres vedkommende til FBA-siden. Det er ingen feilmelding. I tillegg viser oppføringer for "/owa" i HttpProxy\Owa-loggen at "CorrelationID=<tom>; NoCookies=302" ble returnert for de mislykkede forespørslene. Tidligere i loggen angir oppføringer for /owa/auth.owa at brukeren ble godkjent.
Årsak
Dette problemet kan oppstå hvis nettstedet er sikret med et sertifikat som bruker en key storage provider (KSP) for sin private nøkkellagring gjennom Cryptography Next Generation (CNG). Exchange Server støtter ikke CNG/KSP-sertifikater for sikring av Outlook Web App eller ECP. En kryptografisk tjenesteleverandør (CSP) må brukes i stedet. Du kan finne ut om den private nøkkelen er lagret i KSP fra serveren som er vert for det berørte nettstedet. Du kan også bekrefte dette hvis du har sertifikatfilen som inneholder den private nøkkelen (pfx, p12).
Slik bruker du CertUtil til å bestemme privat nøkkellagring
Hvis sertifikatet allerede er installert på serveren, kjører du følgende kommando:
certutil -store my <CertificateSerialNumber>Hvis sertifikatet er lagret i en pfx/p12-fil, kjører du følgende kommando:
certutil <CertificateFileName>I begge tilfeller viser utdataene for det aktuelle sertifikatet følgende:
Provider = Microsoft Storage Key Provider
Løsning
Du kan løse dette problemet ved å overføre sertifikatet til en CSP eller be om et CSP-sertifikat fra sertifikatleverandøren.Obs! Hvis du bruker en CSP eller KSP fra en annen programvare- eller maskinvareleverandør, kontakter du den aktuelle leverandøren for de aktuelle instruksjonene. Du bør for eksempel gjøre dette hvis du bruker en kryptografisk leverandør av Microsoft RSA SChannel, og hvis sertifikatet ikke er låst til en KSP.
-
Sikkerhetskopier det eksisterende sertifikatet, inkludert den private nøkkelen. Hvis du vil ha mer informasjon om hvordan du gjør dette, kan du se Export-ExchangeCertificate.
-
Kjør kommandoen Get-ExchangeCertificate for å finne ut hvilke tjenester som er bundet til sertifikatet.
-
Importer det nye sertifikatet til en CSP ved å kjøre følgende kommando: certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename>
-
Kjør Get-ExchangeCertificate for å sikre at sertifikatet fortsatt er bundet til de samme tjenestene.
-
Start serveren på nytt.
-
Kjør følgende kommando for å bekrefte at sertifikatet nå har sin private nøkkel lagret med en CSP: certutil -store my <CertificateSerialNumber>
Utdataene skal nå vise følgende:
Leverandør = Kryptografisk leverandør for Microsoft RSA SChannel