Simptome
Să luăm în considerare următorul scenariu:
-
Într-un mediu Exchange Server 2013, un site Web Outlook Web App sau Exchange Control Panel (ECP) este configurat să utilizeze Autentificarea bazată pe formulare (FBA).
-
Un utilizator introduce o cutie poștală validă numele de utilizator și parola.
Atunci când utilizatorul face Log on la Outlook Web App sau ECP în acest scenariu, el sau ea este Redirecționat la pagina FBA. Nu există niciun mesaj de eroare.
În plus, în Jurnalul HttpProxy\Owa, intrările pentru "/ owa" Arată că "CorrelationID = < necompletat >; NoCookies = 302" s-a returnat pentru solicitările nereușite. Anterioare în jurnal, intrările pentru "/ owa/auth.owa" indică faptul că utilizatorul s-a autentificat cu succes.
Cauza
Această problemă poate apărea dacă site-ul web este asigurată de un certificat care utilizează o cheie de stocare Provider (KSP) pentru stocarea cheie privată prin Cryptography Next Generation (CNG).
Exchange Server nu acceptă CNG/KSP certificate pentru securizarea Outlook Web App sau ECP. Trebuie utilizată în schimb un Cryptographic Service Provider (CSP). Aveți posibilitatea să determinați dacă cheia privată este stocat în KSP de pe serverul care găzduiește site-ul afectat. De asemenea, puteţi verifica acest lucru dacă aveți certificatul fișierul care conține cheia privată (pfx, p12).
Cum se utilizează CertUtil pentru a determina stocare cheie privată
Dacă certificatul este deja instalat pe server, executaţi următoarea comandă:
certutil-store meu <CertificateSerialNumber>Dacă certificatul este stocat într-un fișier pfx/p12, executaţi următoarea comandă:
certutil <CertificateFileName>În ambele cazuri, rezultatele pentru certificatul respectiv afișează următorul text:
Furnizor = furnizor de stocare Microsoft cheie
Rezolvare
Pentru a rezolva această problemă, migrarea CSP un certificat sau solicita un certificat CSP de la furnizorul de certificat.
Notă Dacă utilizați un CSP sau KSP la un alt furnizor de software sau hardware, Contactați distribuitorul relevante pentru instrucțiuni corespunzătoare. De exemplu, trebuie să procedați astfel dacă utilizați un furnizor criptografic RSA SChannel de Microsoft și dacă certificatul nu este blocat într-o KSP.
-
Copierea de rezervă a certificatului existente, inclusiv cheie privată. Pentru mai multe informații despre cum se face acest lucru, consultați Export ExchangeCertificate.
-
Executați comanda Get-ExchangeCertificate pentru a determina serviciile care sunt legate în mod curent la certificat.
-
Importați certificatul nou într-o CSP executând următoarea comandă:
certutil - csp "Microsoft RSA SChannel Cryptographic Provider" - importpfx < CertificateFilename > -
Get-ExchangeCertificate pentru a vă asigura că certificatul încă este legat la aceeași serviciile se execută.
-
Reporniți serverul.
-
Executaţi următoarea comandă pentru a verifica că certificatul are acum cheia sa privată stocate cu o CSP:
certutil-magazin meu <CertificateSerialNumber>
Acum ar trebui să arăta astfel:
Furnizor = Microsoft RSA SChannel Cryptographic Provider