タグ: IIS8.5

IISからWiki.jsにリーバスプロキシするメモ

とある事情から自宅サーバ環境下にWiki.jsを構築し、IISからリバースプロキシでアクセスするようにした。その際、トラブルでド嵌りしたのでメモ。

構成

IIS側

  • Windows Server 2012 R2
  • IIS 8.5

Wiki.js側

  • Ubuntu Server 18.04.3 LTS
  • node server (port: 3000)

症状

GitHub Authenticationを各種情報を設定の上有効化し、ログインからGitHubボタンを押すとリダイレクトが発生、この際正しいURLにリダイレクトされず404になる。
具体的には、リダイレクト先のURLに以下の違いが発生する。

https://github.com/login/oauth/authorize?response_type=code&redirect_uri=...
https://wiki.taiha.net/login/oauth/authorize?response_type=code&redirect_uri=...

本来URLのドメインはgithub.comになるが、何故かWikiのドメインが使用されてしまう。なお、Wiki.js側のローカルIPアドレスでアクセスした状態からリダイレクトを発生させた場合、正しくGitHubのログインへリダイレクトされた。このため、IISが原因であることが予想された。

どこを探しても対処法が見つからず、またいくつかそれらしき症状が報告されている質問はあるにはあったものの、いずれも回答が付いていなかった。
例:

対処

検索しつつ色々なサイトをボーっと眺めていると、 preserveHostHeader というのを見かけた。ただしこれ自体はログへの記録方法を設定するものであり、無関係。しかし構成エディタで同じ階層を眺めていると、 reverseRewriteHostInResponseHeaders なる項目を見つけた。検索してみると情報は少ないものの、どうもホスト名の書き換えに関わっている様に思え、デフォルトの True から False へ変更してみたところビンゴ。GitHubへのリダイレクトが正常に行われるようになった。

2019/11/07 追記: IIS Managerのサーバホーム(各バーチャルホストではない)-> “Application Request Routing Cache” -> “Server Proxy Settings…” -> “Reverse rewrite host in response headers” でも設定できた。

その他

メインのブログに置いている “ルータ関連メモ” 等非時系列的なコンテンツは、そのうち今回構築したWikiへの移行を考えています。

WindowsでのLet’s EncryptとIDN(Manual Plugin)

  • 大破.net, 側転.大破.net などがもうすぐ期限切れるよとメール来る
  • letsencrypt-win-simpleでrenew実行してみる
  • “unable to renew”
  • v1.9.3までマニュアルプラグインでのrenewは非サポート

    letsencrypt-win-simpleではIISプラグインを利用してIDNを読み取れないため、マニュアルプラグインにてドメイン名のpunycodeを手動で入力する必要がある

  • v1.9.4からスクリプトでマニュアルプラグインでのrenewをサポート
  • 失敗によりレジストリの更新タイミングを10月に書き換えられてしまっているので、今日よりも前の日付に書き換え
    \HKCU\Software\letsencrypt-win-simple\https://acme-v01.api.letsencrypt.org/\Renewals
  • v1.9.4をダウンロードしてrenew
  • OK

Windows Server 2012 R2 + IIS で SSL/TLS Session Tickets を無効化する

発端

  • SSL Labsで、「5月1日以降 Session Tickets 脆弱性 (Ticketbleed) が残っている場合、それまでの評価にかかわらず F に叩き落すぞ」(大幅に盛った意訳)と言われた
    • 設定詰めてやっと取れた A+ 評価から F に叩き落されたらたまったもんじゃない
    • とりあえず対策、もしくは対策できないならこの機能を無効化したい
      • Session Tickets は、あくまでSSL / TLSの高速化に関する機能(らしい)
      • 無効化してもセキュリティの強度には影響無しと判断

対策

  • とにかく情報が無い。全くと言っていいほど無い。
    • F5製品に関しての情報しか出てこない…
    • 世の中のIISを利用してるWebサイトは一体どうなってるんだろう、というのが正直な気持ち
  • あった(1サイトだけ)

これで5月1日以降もSSL Labsの評価を叩き落されることは無いはず…