Проблемы
Рассмотрим следующий сценарий.
-
В среде Exchange Server на веб-сайте Outlook Web App или Exchange панели управления (ECP) настроено использование проверки подлинности на основе форм (FBA).
-
Пользователь вводит допустимые имя и пароль почтового ящика.
Когда пользователь входит в Outlook Web App или ECP в этом сценарии, он перенаправляется на страницу FBA. Сообщения об ошибке нет.
Кроме того, в журнале HttpProxy\Owa записи для "/owa" показывают, что "CorrelationID=<пустые>; NoCookies=302" была возвращена для сбойных запросов. Ранее в журнале записи для "/owa/auth.owa" указывают, что пользователь успешно прошел проверку подлинности.
Причина
Эта проблема может возникнуть, если веб-сайт защищен сертификатом, использующим ключевого поставщика служба хранилища (KSP) для частного хранилища ключей с помощью шифрования нового поколения.
Exchange Server не поддерживает сертификаты CNG или KSP для защиты Outlook Web App или ECP. Вместо этого необходимо использовать поставщика услуг шифрования. Вы можете определить, хранится ли закрытый ключ в KSP с сервера, на котором размещен затронутый веб-сайт. Это также можно проверить, если у вас есть файл сертификата, содержащий закрытый ключ (pfx, p12).
Использование CertUtil для определения частного хранилища ключей
Если сертификат уже установлен на сервере, запустите следующую команду:
certutil -store my <CertificateSerialNumber>Если сертификат хранится в файле pfx/p12, запустите следующую команду:
certutina <CertificateFileName>В обоих случаях в результатах для сертификата отображается следующее:
Provider = Microsoft служба хранилища Key Provider
Решение
Чтобы устранить эту проблему, перенести сертификат в CSP или запросить сертификат CSP у своего поставщика сертификатов.
Примечание. Если вы используете CSP или KSP другого поставщика программного обеспечения или оборудования, обратитесь к соответствующему поставщику за соответствующими инструкциями. Например, это следует сделать, если используется поставщик шифрования microsoft RSA SChannel и сертификат не заблокирован ВКП.
-
Совключите существующий сертификат, в том числе закрытый ключ. Дополнительные сведения о том, как это сделать, см. в экспорте-ExchangeCertificate.
-
Запустите Get-ExchangeCertificate, чтобы определить, какие службы привязаны к сертификату.
-
Импорт нового сертификата в CSP с помощью следующей команды:
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
Запустите Get-ExchangeCertificate, чтобы убедиться, что сертификат все еще привязан к тем же службам.
-
Перезагрузите сервер.
-
Чтобы убедиться, что сертификат сохранен в CSP, с помощью следующей команды:
certutil -store my <CertificateSerialNumber>
Теперь в выходных данных должны выводиться следующие данные:
Provider = Microsoft RSA Channel Cryptographic Provider
