IIS Reverse Proxy (ARR) 502.3 Bad Gateway – Sicherheitsfehler

Christian — Fri, 04 Jan 2019 06:55:00 +0000

Ich nutze einen ESXI Server hinter einem IIS Reverse Proxy um aus dem Internet auf die Verwaltungsoberfläche zuzugreifen.

Unglücklicherweise hat der Standard-Web-Client von ESXi 6.5 einen Zertifikatsfehler. Das Zertifikat ist nämlich durch den VMWare Installer selbst ausgestellt und nicht durch eine Zertifizierungsstelle verifiziert.

So ergibt sich beim Routing über IIS ein Fehler 502.3 Bad Request mit dem Hinweis: Es ist ein Sicherheitsfehler aufgetreten.

Man könnte nun dem ESXI Server ein gültiges Zertifikat erstellen und dieses Einspielen, da ich ein gültiges Zertifikat innerhalb meines Heimnetzes jedoch nicht benötige, ist mir der Zertifikatsfehler intern egal. Nach außen habe ich ein gültiges Let’s Encrypt Zertifikat das durch den IIS auch richtig geliefert wird.

Die Lösung für mich war es also, die Zertifikatsprüfung durch IIS beim Request Routing von HTTPS-Seiten zu deaktivieren.

WINHTTP_OPTION_SECURITY_FLAGS

Hierzu den folgenden Schlüssel in der Registry des IIS-Servers öffnen bzw. bei Bedarf anlegen:

HKLM\SOFTWARE\Microsoft\IIS Extensions\Application Request Routing\Parameters

Hier drin dann einen DWORD (32-bit) Wert mit dem Namen „SecureConnectionIgnoreFlags“ anlegen. Der Default Value 0 ist die Selbe Einstellung wie im Flag SECURITY_FLAG_IGNORE_CERT_CN_INVALID .

In meinem konkreten Fall habe ich hier alle Flags gesetzt und den Wert 0x00003300 eingetragen.

Flags

Wert	Beschreibung
0x00001000	SECURITY_FLAG_IGNORE_CERT_CN_INVALID
0x00002000	SECURITY_FLAG_IGNORE_CERT_DATE_INVALID
0x00000100	SECURITY_FLAG_IGNORE_UNKNOWN_CA
0x00000200	SECURITY_FLAG_IGNORE_CERT_WRONG_USAGE

Weitere Infos: https://docs.microsoft.com/en-us/iis/extensions/configuring-application-request-routing-arr/arr-support-added-for-winhttpoptionsecurityflags

Eine Datei mit Sonderzeichen im Dateinamen kann im IIS nicht geöffnet werden.

Christian — Sun, 22 Jul 2018 16:20:31 +0000

Problem

Du hast IIS konfiguriert und hast ein Problem damit, Dateien mit einem „+“ im Namen zu öffnen oder hochzuladen.

Ursache

Der Abschnitt zum Filtern von Anfragen der doppelte Escaping-Sequenzen nicht zulässt.

Lösung

Um dieses Problem zu beheben, erledige die folgenden Schritte:

Doppelklicke im IIS in deiner Website auf das Symbol „Anforderungsfilter“.
Im Tab „Dateinamenerweiterungen“ klicke auf „Featureeinstellungen bearbeiten“.
Aktiviere die Option „Doppelte Escapezeichen zulassen“ (diese Option ist standardmäßig deaktiviert).
Starte den IIS-Server neu.

Nun sollte es möglich sein, Dateien mit einem „+“ im Namen zu öffnen/hochzuladen.