Symptomen
Neem het volgende scenario:
-
In een Exchange Server omgeving is een Outlook Web App of Exchange -website van het Configuratiescherm (ECP) geconfigureerd voor het gebruik van op formulieren gebaseerde verificatie (FBA).
-
Een gebruiker voert een geldige gebruikersnaam en wachtwoord voor het postvak in.
Wanneer de gebruiker zich aanmeldt bij Outlook Web App of ECP in dit scenario, wordt hij of zij omgeleid naar de FBA-pagina. Er is geen foutbericht.
Bovendien wordt in het logboek HttpProxy\Owa in de vermeldingen voor '/owa' aangetoond dat 'CorrelationID=<lege>; NoCookies=302" is geretourneerd voor de mislukte aanvragen. Eerder in het logboek geven vermeldingen voor '/owa/auth.owa' aan dat de gebruiker is geverifieerd.
Oorzaak
Dit probleem kan optreden als de website is beveiligd met een certificaat dat een KSP (Key Storage Provider) gebruikt voor de opslag van de persoonlijke sleutel via CNG (Cryptography Next Generation).
Exchange Server biedt geen ondersteuning voor CNG/KSP-certificaten voor het beveiligen van Outlook Web App of ECP. In plaats daarvan moet een cryptografische serviceprovider (CSP) worden gebruikt. U kunt bepalen of de persoonlijke sleutel is opgeslagen in de KSP vanaf de server die de betreffende website host. U kunt dit ook controleren als u het certificaatbestand hebt met de persoonlijke sleutel (pfx, p12).
CertUtil gebruiken om de opslag van privésleutels te bepalen
Voer de volgende opdracht uit als het certificaat al op de server is geïnstalleerd:
certutil -store my <CertificateSerialNumber>If the certificate is stored in a pfx/p12 file, run the following command:
certutil <CertificateFileName>In beide gevallen wordt in de uitvoer voor het certificaat in kwestie het volgende weergegeven:
Provider = Microsoft Storage Key Provider
Oplossing
Als u dit probleem wilt oplossen, migreert u het certificaat naar een CSP of vraagt u een CSP-certificaat aan bij uw certificaatprovider.
Opmerking Als u een CSP of KSP van een andere software- of hardwareleverancier gebruikt, neem dan contact op met de betreffende leverancier voor de juiste instructies. U moet dit bijvoorbeeld doen als u een Microsoft RSA SChannel-cryptografische provider gebruikt en als het certificaat niet is vergrendeld in een KSP.
-
Een back-up maken van uw bestaande certificaat, inclusief de persoonlijke sleutel. Zie Export-ExchangeCertificatevoor meer informatie over hoe u dit doet.
-
Voer de Get-ExchangeCertificate uit om te bepalen welke services momenteel aan het certificaat zijn gebonden.
-
Importeer het nieuwe certificaat in een CSP door de volgende opdracht uit te voeren:
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
Voer Get-ExchangeCertificate uit om ervoor te zorgen dat het certificaat nog steeds aan dezelfde services is gebonden.
-
Start de server opnieuw.
-
Voer de volgende opdracht uit om te controleren of de persoonlijke sleutel van het certificaat nu is opgeslagen met een CSP:
certutil -store my <CertificateSerialNumber>
De uitvoer moet nu het volgende laten zien:
Provider = Microsoft RSA SChannel Cryptographic Provider
