IIS Reverse Proxy (ARR) 502.3 Bad Gateway – Sicherheitsfehler

Ich nutze einen ESXI Server hinter einem IIS Reverse Proxy um aus dem Internet auf die Verwaltungsoberfläche zuzugreifen.

Unglücklicherweise hat der Standard-Web-Client von ESXi 6.5 einen Zertifikatsfehler. Das Zertifikat ist nämlich durch den VMWare Installer selbst ausgestellt und nicht durch eine Zertifizierungsstelle verifiziert.

So ergibt sich beim Routing über IIS ein Fehler 502.3 Bad Request mit dem Hinweis: Es ist ein Sicherheitsfehler aufgetreten.

Man könnte nun dem ESXI Server ein gültiges Zertifikat erstellen und dieses Einspielen, da ich ein gültiges Zertifikat innerhalb meines Heimnetzes jedoch nicht benötige, ist mir der Zertifikatsfehler intern egal. Nach außen habe ich ein gültiges Let’s Encrypt Zertifikat das durch den IIS auch richtig geliefert wird.

Die Lösung für mich war es also, die Zertifikatsprüfung durch IIS beim Request Routing von HTTPS-Seiten zu deaktivieren.

WINHTTP_OPTION_SECURITY_FLAGS

Hierzu den folgenden Schlüssel in der Registry des IIS-Servers öffnen bzw. bei Bedarf anlegen:

HKLM\SOFTWARE\Microsoft\IIS Extensions\Application Request Routing\Parameters

Hier drin dann einen DWORD (32-bit) Wert mit dem Namen „SecureConnectionIgnoreFlags“ anlegen. Der Default Value 0 ist die Selbe Einstellung wie im Flag SECURITY_FLAG_IGNORE_CERT_CN_INVALID .

In meinem konkreten Fall habe ich hier alle Flags gesetzt und den Wert 0x00003300 eingetragen.

Flags

WertBeschreibung
0x00001000SECURITY_FLAG_IGNORE_CERT_CN_INVALID
0x00002000SECURITY_FLAG_IGNORE_CERT_DATE_INVALID
0x00000100SECURITY_FLAG_IGNORE_UNKNOWN_CA
0x00000200SECURITY_FLAG_IGNORE_CERT_WRONG_USAGE

Weitere Infos: https://docs.microsoft.com/en-us/iis/extensions/configuring-application-request-routing-arr/arr-support-added-for-winhttpoptionsecurityflags

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.