Добрый день!

В наличии Microsoft Exchange Server 2013 CU8 с установленным на нем СКЗИ "КриптоПро CSP" 3.9 (лицензионный). У почтовика есть веб-интерфейс для работы с почтой - Outlook Web Access (версия среды CLR .NET v4.0). При попытке подменить в IIS Windows-сертификаты на ГОСТовские начальная страница и OWA открываются, но после ввода логина и пароля выскакивает ";) что то пошло не так", а в журнале "Приложение" в огромном количестве фиксируются следующие ошибки:

Имя журнала: Application
Источник: MSExchange Front End HTTP Proxy
Дата: 25.03.2015 23:45:08
Код события: 1003
Категория задачи:Core
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Описание:
[Owa] An internal server error occurred. The unhandled exception was: System.NotSupportedException: Алгоритм ключа сертификата не поддерживается.
в System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey()
в Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.ProxyModule.<>c__DisplayClass8.<OnBeginRequest>b__7()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)

В Exchange Server 2010 (версия среды CLR .NET v2.0) с которого мигрировала наша компания HTTPS по ГОСТовским сертификатам отлично работал. А сейчас вылетает ошибка "алгоритм ключа сертификата не поддерживаетеся".

На форуме Microsoft предложили дополнительно на сервер поставить КриптоПро .NET. Поставил, перезагрузился. Теперь после ввода имени пользователя и пароля в OWA появляется страница со следующим содержимым:
Ошибка сервера в приложении '/owa'.

---

Ссылка на объект не указывает на экземпляр объекта.
Описание: Необработанное исключение при выполнении текущего веб-запроса. Изучите трассировку стека для получения дополнительных сведений о данной ошибке и о вызвавшем ее фрагменте кода.

Сведения об исключении: System.NullReferenceException: Ссылка на объект не указывает на экземпляр объекта.

Ошибка источника:

Необработанное исключение при выполнении текущего веб-запроса. Информацию о происхождении и месте возникновения исключения можно получить, используя следующую трассировку стека исключений.

Трассировка стека:


[NullReferenceException: Ссылка на объект не указывает на экземпляр объекта.]
Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication) +671
Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer) +2507
Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy() +19
Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate() +402
Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon) +1879
Microsoft.Exchange.HttpProxy.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e() +689
Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate) +40
Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler) +376
Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method) +126

[AggregateException: Произошла одна или несколько ошибок.]
Microsoft.Exchange.HttpProxy.ProxyRequestHandler.EndProcessRequest(IAsyncResult result) +1062
System.Web.CallHandlerExecutionStep.OnAsyncHandlerCompletion(IAsyncResult ar) +282

---

Информация о версии: Платформа Microsoft .NET Framework, версия:4.0.30319; ASP.NET, версия:4.0.30319.34212


При этом в журнале "Система" регистрируются в огромном количестве следующие 2 события:
Имя журнала: System
Источник: Schannel
Дата: 26.03.2015 23:42:15
Код события: 36874
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:
Пользователь: СИСТЕМА
Описание:
Получен запрос на подключение TLS 1.0 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой.


Имя журнала: System
Источник: Schannel
Дата: 26.03.2015 23:42:15
Код события: 36888
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:
Пользователь: СИСТЕМА
Описание:
Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40. Состояние ошибки Windows SChannel: 1205.


В журнале "Приложение":
Имя журнала: Application
Источник: MSExchange Front End HTTP Proxy
Дата: 26.03.2015 23:44:56
Код события: 1003
Категория задачи:Core
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Описание:
[Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Ссылка на объект не указывает на экземпляр объекта.
в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)


Имя журнала: Application
Источник: ASP.NET 4.0.30319.0
Дата: 26.03.2015 23:44:56
Код события: 1309
Категория задачи:Web Event
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Описание:
Event code: 3005
Event message: Возникло необработанное исключение.
Event time: 26.03.2015 23:44:56
Event time (UTC): 26.03.2015 18:44:56
Event ID: 7fab21f1396b4e839d44494ef2061f00
Event sequence: 132
Event occurrence: 117
Event detail code: 0

Application information:
Application domain: /LM/W3SVC/1/ROOT/owa-3-130718689387844346
Trust level: Full
Application Virtual Path: /owa
Application Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\
Machine name: XXXXXXXX

Process information:
Process ID: 2684
Process name: w3wp.exe
Account name: NT AUTHORITY\СИСТЕМА

Exception information:
Exception type: NullReferenceException
Exception message: Ссылка на объект не указывает на экземпляр объекта.
в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)
в Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method)



Request information:
Request URL: https://localhost:443/OWA/auth.owa
Request path: /OWA/auth.owa
User host address: 127.0.0.1
User: POFOMS\HealthMailbox6183c25
Is authenticated: True
Authentication Type: Basic
Thread account name: NT AUTHORITY\СИСТЕМА

Thread information:
Thread ID: 64
Thread account name: NT AUTHORITY\СИСТЕМА
Is impersonating: False
Stack trace: в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)
в Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method)


На форуме Microsoft утверждают, что "виновато" программное обеспечение КриптоПро и что в КриптоПро есть некие настройки, изменив которые все (HTTPS в OWA по ГОСТовскому сертификату) чудесным образом заработает. Так ли это? И если это так, то что и где следует мне настроить?

После установки на сервер КриптоПро .NET в Центре администрирования Exchange (/ecp) действительно появился серверный ГОСТовский сертификат (раньше его просто не было). Состояние у него было "Недействительный", т.к. Exchange почему то CRL не смог подхватить. Скачал CRL с УЦ руками и поставил в оснастку Сертификаты (Локальный компьютер) в соответствующий раздел. После ручной установки CRL в Центре администрирования Exchange сертификат изменил статус на "Действительный"(!). Затем я его там же назначил для службы IIS.

И тут самое интересное - OWA открылся в HTTPS с ГОСТовским сертификатом не только на начальной странице, но и открылся сам почтовый ящик. На радостях попытался открыть Центр администрирования Exchange, но опять появилась та же страничка с ошибкой. После этого и в OWA уже не попасть было. Т.е. сработало(!), но ровно на 1 логин.

Потом опять вручную в IIS вернул виндовый сертификат (через "привязки").

Поэтому теперь оочень хочется расширить успех с 1 раза до бесконечности :-)

Что там надо с "печеньками" то делать?

Для нас (Территориальный фонд обязательного медицинского страхования Пермского края) есть очень даже коммерческий интерес - дальнейшее использование Exchange Server с ГОСТовским шифрованием (HTTPS) и квалифицированной электронной подписью (S/MIME) или переход на "Деловую почту ViPNet". Второй вариант придётся реализовывать с нуля и заставлять покупать больнички Пермского края (работающие в системе обязательного медицинского страхования) как минимум по одному ViPNet-клиенту за 8 т.р. за 1 шт. При том что ViPNet - "не поворотливое" и не гибкое решение. А тут мы можем одновременно работать и с "обычной" почтой и стоит всего 1800 руб. А те, кто ЭП не используют, то вообще на триальной лицензии могут сидеть.
Кроме того, Федеральный фонд ОМС произвел аккредитацию только УЦ КриптоПро, а ViPNet у них так и не аккредитованный стоит.

Вопрос лишь в необходимости https именно на сервере OWA.
Можно же опубликовать http-сайт по https через TMG или иной шлюз.
Но если Вы готовы помочь протестировать поддержку ГОСТ в Exchange - мы подготовим новую сборку.

Второе должно работать уже сейчас.