Gestern habe ich für meinen neuen Exchange 2013 Server ein Zertifikat ausgestellt, gestern lief auch noch alles wunderbar. Heute dann diese Fehlermeldung beim Versuch das ECP zu starten:
Und auch das Event Log ist komplett Rot mit dem Event 1003:
[Ecp] An internal server error occurred. The unhandled exception was: System.Security.Cryptography.CryptographicException: Ungültigen Anbietertyp angegeben
bei System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer)
bei System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean randomKeyContainer, Int32 dwKeySize, SafeProvHandle& safeProvHandle, SafeKeyHandle& safeKeyHandle)
bei System.Security.Cryptography.RSACryptoServiceProvider.GetKeyPair()
bei System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey()
bei Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
bei Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication)
bei Microsoft.Exchange.HttpProxy.ProxyModule.<>c__DisplayClass8.<OnBeginRequest>b__7()
bei Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)
Sprechende Fehlermeldungen sehen zwar anders aus, aber man kann zum Glück ein bisschen was herleiten, also genau lesen:
System.Security.Cryptography.CryptographicException: Ungültigen Anbietertyp angegeben
bei System.Security.Cryptography.RSACryptoServiceProvider.GetKeyPair()
Ich habe also scheinbar einen ungültigen Anbietertyp angegeben und es wird wohl irgendwas mit RSA erwartet. Also mal prüfen:
certutil –store my
Bei Anbieter steht schon mal nichts von RSA… könnte also schon das Problem sein. Ich war so frei und habe als Zertifikatsvorlage “Server 2008 kompatibel gewählt”, also erstelle ich jetzt eine neue Vorlage mit “Server 2003”
Da steht dann unter Kryptographie auch RSA als Anbieter
Also fix ein neues Zertifikat mit der neuen Vorlage erstellt und per Shell zugewiesen, ECP startet ja nicht mehr. Dazu mit
Get-ExchangeCertificate | fl thumbprint,notafter,services
die Zertifikate anzeigen lassen, den entsprechenden Thumbprint raussuchen und mit
Enable-ExchangeCertificate -Thumbprint 10DB8A5538EABF994E1667D7B0EE93CA003EC368 -Services IIS,SMTP,IMAP,POP
zuweisen.
Mit dem neuen Zertifikat funktioniert dann auch die ECP wieder.