Príznaky
Predstavte si nasledujúcu situáciu:
-
V prostredí servera Exchange Server 2013 aplikácie Outlook Web App alebo Exchange Ovládací Panel aplikácie webovej stránky je nakonfigurovaný na používanie overovanie na základe formulárov (FBA).
-
Zadávanie platné schránky mena používateľa a hesla.
Pri prihlásení do aplikácie Outlook Web App alebo aplikácie v tomto scenári, pracovník presmerovaná na stránke FBA. Neexistuje žiadne chybové hlásenie.
Okrem toho v denníku HttpProxy\Owa položky "/ owa" vyplýva "CorrelationID = < prázdne >, NoCookies = 302" vrátila neúspešných žiadostí. Skôr v denníku položky "/ owa/auth.owa" naznačujú, že používateľ bol overený úspešne.
Príčina
Tento problém sa môže vyskytnúť, ak webovej stránky je zabezpečená certifikát, ktorý používa kľúč Storage Provider (KSP) na jeho súkromný kľúč ukladanie cez Cryptography ďalšej generácie (CNG).
Exchange Server nepodporuje CNG/KSP certifikáty zabezpečenia programu Outlook Web App alebo aplikácie. Kryptografická služba poskytovateľ Kryptografických služieb, musíte použiť. Môžete určiť, či súkromný kľúč je uložený v KSP zo servera, ktorý hosťuje príslušné webové stránky. Môžete tiež overiť máte certifikát súbor, ktorý obsahuje súkromný kľúč (pfx, p12).
Používanie CertUtil zistiť súkromného kľúča
Ak certifikát je už nainštalovaný na serveri, spustite nasledujúci príkaz:
certutil-Uložiť moje <CertificateSerialNumber>Ak certifikát je uložený v súbore pfx alebo p12, spustite nasledujúci príkaz:
certutil <CertificateFileName>V oboch prípadoch výstup pre príslušného certifikátu zobrazí:
Poskytovateľ = kľúč poskytovateľa Microsoft Storage
Riešenie
Na vyriešenie tohto problému migrovať certifikát poskytovateľ kryptografických služieb alebo poskytovateľ kryptografických služieb certifikát požiadať poskytovateľa certifikátov.
Poznámka: Poskytovateľ kryptografických služieb alebo používate KSP od iného dodávateľa softvéru alebo hardvéru, obráťte sa na príslušného dodávateľa pre príslušné pokyny. Napríklad môžete urobiť Ak používate program Microsoft RSA zabezpečený kanál kryptografické poskytovateľ a certifikát nie je uzamknutý do KSP.
-
Zálohujte svoje existujúce osvedčenie vrátane kľúča. Ďalšie informácie o postupe nájdete Export ExchangeCertificate.
-
Príkaz Get-ExchangeCertificate určiť služby, ktoré sú v súčasnosti povinné certifikát.
-
Importovať nový certifikát poskytovateľ kryptografických služieb spustením nasledujúceho príkazu:
certutil - poskytovateľ kryptografických služieb "Microsoft RSA zabezpečený kanál kryptografické poskytovateľ" - importpfx < CertificateFilename > -
Spustiť Get-ExchangeCertificate uistite sa, že certifikát je vždy povinný rovnaké služby.
-
Reštartovať server.
-
Spustite nasledujúci príkaz na overenie, či certifikát už jeho súkromný kľúč uložené poskytovateľ kryptografických služieb:
certutil-Uložiť moje <CertificateSerialNumber>
Výstup by sa mala zobraziť nasledovné:
Poskytovateľ = Microsoft RSA zabezpečený kanál kryptografické poskytovateľ