【茶包射手日記】可以安裝但 IIS 無法使用的 TLS 憑證
 |  | 3 |  | 1,030 |
隨著經歷鬼故事漸多,見識過光怪陸離的茶包,我解決日常電腦疑難雜症的速度也漸漸變快,印象中已很少被問題困住幾小時,而最近遇上的這隻足足耗掉我半天以上,算來都快接近下弦鬼了... Orz 一切始於 IIS 的鬼訊息,與自己用 PowerShell 呼叫 openssl 做 PFX 有關係,因為舊版 II...
網站憑證更新自動化 - IIS TLS 憑證設定指令工具
| | | 1 | | 1,327 |
前情提要:網站憑證更新自動化 - 憑證簽署請求檔(CSR)指令工具 我的作業環境以 Windows IIS 為主,做好 CSR 請求檔製作與 PFX 憑證轉轉換的 CLI 工具後,再來就是要設法將 IIS 站台換新憑證動作也轉成指令或程式作業,繼續向 IIS 憑證自動化更新邁進。 比照上次部署及資安...
網站憑證更新自動化 - 憑證簽署請求檔(CSR)指令工具
| | | 3 | | 4,309 |
HTTPS 儼然已是基本要求,不少同學應已被迫搞懂網站 TLS 憑證申請及安裝的大小事。 若你管理的網站是 IIS,慣用做法應是開 IIS 管理介面,用現成的建立憑證請求功能,滑滑鼠敲文字,下一步下一步做出 CSR 寄給憑證廠商或組織內的憑證管理人員換回 CER 檔安裝。(關於 IIS 的憑證相關操...
網站效能分析新手提示 - 正確解讀網站 Log 時間欄位
| | | 2 | | 1,828 |
網路效能突發問題說來就來,遇上了往往只能透過事件檢視器或 IIS Log 還原現場,設法拼湊真相推敲出事發原因。 既然跟效能有關,了解不同時間點的請求執行時間變化就顯得格外重要,用耗時變化還原出時間軸常是破案的關鍵,而正確理解及利用 IIS Log 時間與耗時欄位是重要的第一步。 IIS 預設採用 ...
【茶包射手筆記】openssl 匯出 pfx 在 Windows 密碼百敲不過
| | | 7 | | 3,713 |
同事分享的案例,使用 openssl pkcs12 -export -out server.pfx -inkey server.key -in server.cer -certfile ca.cer 匯出 .pfx 檔,過程需要設定密碼(且需輸入兩次確認沒打錯字),但檔案拿到 Windows 要匯入...
取得部署 IIS 之 ASP.NET Core HTTP 500 錯誤細節
| | | 2 | | 4,225 |
ASP.NET Core 有個預設行為,開發測試階段會顯示錯誤細節,包含錯誤訊息、Stack Trace 等資訊;當部署到 IIS 後,就只會顯示告知狀態碼為 HTTP ERROR 500,以避免程式資訊外洩形成資安風險: 嚴譯的系統會設計 Log 機制補捉及記錄錯誤,提供介面查詢或是後送 ELK...
【打破砂鍋】IIS 6 起就不該使用的 IISRESET,結果我用了 21 年?
| | | 5 | | 7,090 |
同事分享冷知識一枚,依據微軟官方建議,我平時順手就來一發的 IISRESET,是 IIS 5.0 時代的產物,IIS 6.0 後已不建議使用,登楞!! 原文是這麼寫的: IISReset.exe is a command-line utility that was introduced in II...
IIS AlwaysRunning 深入研究 - 幽靈排程與自動啟動行為
| | | 0 | | 3,781 |
之前研究過確保網站永遠處於執行狀態的 IIS 設定方式,最近遇上網站停用但網站背景排程照跑的靈異事件,發現事情跟我想的不一樣,自己對 IIS 站台 Process 模式及 AlwaysRunning 行為有些誤解,寫篇筆記備忘。 我們都知道 IIS 管理員站台有組控制鈕,可以重新啟動、啟動或停止站台...
【茶包射手日記】詭異的 TLS 憑證數位簽章無效問題
| | | 1 | | 4,373 |
之前處理過不少 TLS 憑證無效問題,這回遇上一枚絕對新鮮的罕見茶包。 狀況如上圖所示(純屬模擬示意,非實際狀況),瀏覽器警示網站不安全,檢視憑證信任鏈,根憑證(TWCA Global Root CA)、中繼憑證(TWCA Global EVSSL Certification Authority)...
IIS ARR Reverse Proxy 出現 ERR_CONNECTION_RESET 錯誤
| | | 0 | | 1,339 |
嘗試用 IIS ARR 當 Reverse Proxy 重導 PRTG 服務管理網頁,發現僅 HTML 可正常讀取,網頁所需的 png 及 css 發生 ERR_CONNECTION_RESET 錯誤。 ARR 的狀態有點尷尬,2013 年更新 3.0 後幾乎就沒再更新了,網路查到的資料很多還停在...
【茶包射手日記】IIS 管理員看不到 ARR Cache 圖示之謎
| | | 2 | | 1,990 |
用 IIS ARR 架 Reverse Proxy 已經好幾年,雖然運作正常,但有個問題始終困擾著我,我一直找不到傳說中有個「Application Request Routing Cache」圖示: 網路上看過有人跟我一樣抱怨找不到,起初我覺得是 ARR 太老舊跟 Windows 2016+ 相...
IIS ARR (Application Request Routing) 安裝 (2023 版)
| | | 1 | | 5,512 |
這幾年蠻常用 IIS ARR 架 Reverse Proxy 或做網址重新導向(應用範例:在 ASP.NET MVC 站台使用 IIS ARR、HTTP Host Header 資安弱點防護),由於常需在隔離環境離線安裝,我找到最簡便的做法是下載四合一組合包 Application Request ...
PowerShell 小工具 - 盤點 IIS 站台設定
| | | 2 | | 2,772 |
遇到接手現有網站主機、網站搬家規劃等需求,我想要有個工具可以盤點 IIS 上設了哪些網站應用程式、對映哪些 AppPool、Runtime 是 .NET 2.0 還是 4.0、哪些目錄特別設了匿名或 Winodws 整合驗證、鎖哪些來源 IP... 等種種細節。 自己許願自己實現,決定寫個 Powe...
IIS 伺服器過載 Log 分析與現場還原
| | | 1 | | 5,855 |
前陣子分享過用 K6 跑壓力測試逼 IIS 噴出 HTTP 503,也展示如何從壓測到產出報表一氣喝成的壓力測試結果圖表自動化工具。前幾天跟同事討論被提醒 - 壓力測試畢竟是備戰演習沙盤推演,正式網站被塞爆噴 503 的案例才是最真實的情境,當下的數據更值得分析研究,更具參考價值。 圖片來源 有道...
設定 Chrome/Edge 自動登入 Windows 驗證網站
| | | 4 | | 9,778 |
有使用者反映 Chrome/Edge 無法自動登入使用 Windows 整合驗證 IIS 網站,會彈出登入對話框,敲完 AD 帳號密碼才能登入,有一部分使用者則可以用登入 Windows 的 AD 帳號自動登入,不需要敲密碼。 原以為跟上回一樣是 AD 傳輸被擋造成,但本次案例 URL 是用 IP,...
子目錄 web.config 修改後會立即生效?會導致 AppPool 重啟嗎?
| | | 2 | | 5,325 |
ASP.NET/IIS 用了 20 年 (ASP.NET 1.0 誕生於 2002 年 1 月,到今年 20 歲了),仍有不少我不確定答案的疑惑。 我們都知道,同一網站的 web.config 有繼承關係,網站根目錄 /wwwroot/web.config 設定套用全站,/wwwroot/subdi...