Ich nutze einen ESXI Server hinter einem IIS Reverse Proxy um aus dem Internet auf die Verwaltungsoberfläche zuzugreifen.
Unglücklicherweise hat der Standard-Web-Client von ESXi 6.5 einen Zertifikatsfehler. Das Zertifikat ist nämlich durch den VMWare Installer selbst ausgestellt und nicht durch eine Zertifizierungsstelle verifiziert.
So ergibt sich beim Routing über IIS ein Fehler 502.3 Bad Request mit dem Hinweis: Es ist ein Sicherheitsfehler aufgetreten.
Man könnte nun dem ESXI Server ein gültiges Zertifikat erstellen und dieses Einspielen, da ich ein gültiges Zertifikat innerhalb meines Heimnetzes jedoch nicht benötige, ist mir der Zertifikatsfehler intern egal. Nach außen habe ich ein gültiges Let’s Encrypt Zertifikat das durch den IIS auch richtig geliefert wird.
Die Lösung für mich war es also, die Zertifikatsprüfung durch IIS beim Request Routing von HTTPS-Seiten zu deaktivieren.
WINHTTP_OPTION_SECURITY_FLAGS
Hierzu den folgenden Schlüssel in der Registry des IIS-Servers öffnen bzw. bei Bedarf anlegen:
HKLM\SOFTWARE\Microsoft\IIS Extensions\Application Request Routing\Parameters
Hier drin dann einen DWORD (32-bit) Wert mit dem Namen „SecureConnectionIgnoreFlags“ anlegen. Der Default Value 0 ist die Selbe Einstellung wie im Flag SECURITY_FLAG_IGNORE_CERT_CN_INVALID .
In meinem konkreten Fall habe ich hier alle Flags gesetzt und den Wert 0x00003300 eingetragen.
Flags
| Wert | Beschreibung |
|---|---|
| 0x00001000 | SECURITY_FLAG_IGNORE_CERT_CN_INVALID |
| 0x00002000 | SECURITY_FLAG_IGNORE_CERT_DATE_INVALID |
| 0x00000100 | SECURITY_FLAG_IGNORE_UNKNOWN_CA |
| 0x00000200 | SECURITY_FLAG_IGNORE_CERT_WRONG_USAGE |