Belirtiler
Aşağıdaki senaryoyu inceleyin:
-
Exchange Server ortamında, Outlook Web App veya Exchange Denetim Masası (ECP) web sitesi form tabanlı kimlik doğrulamayı (FBA) kullanmak üzere yapılandırılır.
-
Kullanıcı geçerli bir posta kutusu kullanıcı adı ve parola girer.
Kullanıcı bu senaryoda Outlook Web App ECP'de oturum açtığında, FBA sayfasına yönlendirildi. Hata iletisi yok.
Buna ek olarak, HttpProxy\Owa günlüğünde "/owa" girdileri "CorrelationID=<boş değerle>; Başarısız istekler için NoCookies=302" iade edildi. Günlüğün önceki sayfalarında, "/owa/auth.owa" girdileri kullanıcının başarılı bir şekilde kimlik doğrulanmış olduğunu gösterir.
Neden
Web sitesi, Şifreleme Yeni Nesil (CNG) aracılığıyla özel anahtar depolaması için Anahtar Depolama Sağlayıcısı (KSP) kullanan bir sertifikayla güvence altına alınırsa bu sorun oluşabilir.
Exchange Server güvenlik altına almak için CNG/KSP sertifikalarını desteklemez Outlook Web App ECP. Bunun yerine şifreleme Hizmet Sağlayıcısı (CSP) kullanılmalıdır. Özel anahtarın, etkilenen web sitesini barındıran sunucudan gelen KSP'de depolanmış olup olmadığını belirleyebilirsiniz. Özel anahtarı içeren bir sertifika dosyanız varsa (pfx, p12) bunu da doğruabilirsiniz.
Özel anahtar depolama alanını belirlemek için CertUtil'i kullanma
Sertifika sunucuda zaten yüklüyse, aşağıdaki komutu çalıştırın:
certutil -store my <CertificateSerialNumber>Sertifika bir pfx/p12 dosyasında depolanıyorsa, aşağıdaki komutu çalıştırın:
certutil <CertificateFileName> Her iki durumda da, söz konusu sertifikanın çıktısı aşağıdakini görüntüler:
Sağlayıcı = Microsoft Depolama Sağlayıcı
Çözüm
Bu sorunu çözmek için, sertifikayı CSP'ye geçirebilirsiniz veya sertifika sağlayıcınızdan bir CSP sertifikası talepebilirsiniz.
Not Başka bir yazılım veya donanım satıcısından alınan bir CSP veya KSP kullanıyorsanız, uygun yönergeler için ilgili satıcıyla iletişime geçin. Örneğin, Microsoft RSA SChannel Cryptographic Provider kullanıyorsanız ve sertifika bir KSP'de kilitli değilse bunu yapabilirsiniz.
-
Özel anahtar da içinde olmak üzere, var olan sertifikanızı geri alın. Bunun nasıl olduğu hakkında daha fazla bilgi için bkz. Export-ExchangeCertificate.
-
Şu anda Get-ExchangeCertificate bağlı olan hizmetleri belirlemek için Get-ExchangeCertificate komutunu çalıştırın.
-
Aşağıdaki komutu çalıştırarak yeni sertifikayı CSP'ye aktarın:
certutil -csp "Microsoft RSA SChannel Cryptographic Provider" -importpfx <CertificateFilename> -
Sertifikanın Get-ExchangeCertificate aynı hizmetlere bağlı olduğundan emin olmak için diğer hizmetleri çalıştırın.
-
Sunucuyu yeniden başlatın.
-
Sertifikanın artık bir CSP ile depolanan özel anahtarı olduğunu doğrulamak için aşağıdaki komutu çalıştırın:
certutil -store my <CertificateSerialNumber>
Çıkışta artık aşağıdakiler göster gerekir:
Provider = Microsoft RSA SChannel Cryptographic Provider