IIS6 + FileMaker Web Companion/Web Server Connector 構成の Web サーバ機で TLS1.2 が動作するようにリバースプロキシを設定する

Web ブラウザの TLS1.0/1.1 無効化により Web ブラウザで警告が発生

2015/10/05 に大手4社のWebブラウザが 2020年にTLS 1.0と1.1を無効化すると発表し、2020/07/01 より順次対応が始まった模様です。

参考リンク：大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化

今回の Web ブラウザのセキュリティ強化により、最新版の Web ブラウザを使って TLS1.2 非対応の Web サーバにアクセスすると、以下のような警告が Web ブラウザに表示されることがあります。

（以下は 最新のFirefox でアクセスしたときのエラー）

Firefox で表示される エラーコード: SSL_ERROR_UNSUPPORTED_VERSION

Windows Server 2003 IIS6 は TLS1.2 非対応のため、別途対策が必要

　新たなセキュリティホールや脆弱性は日々発見されており、サーバOS も Webサーバもアップデートが提供されているものを使用し、できるだけ迅速にアップデートを行うことが推奨されます。しかし、OSやWebサーバのアップデートを行うにはシステムの修正や再構築が必要となり多額の費用が発生することが多々あり、このため止むを得ずレガシーシステムを使わざるを得ない、ということもあります。

　さて、FileMaker 5.5 Unlimited に付属する Web Companion や Web Server Connector は、FileMakerデータベースとIISの橋渡しをしてWebアクセスを可能にするものですが、Web Companion/Web Server Connector は Windows Server 2008のIIS7では動作しません。このため、Windows Server 2000/2003 IIS5/6 と FileMaker Pro 5.5 Unlimited（Web Companion/Web Server Connector）により、Webサイトを運用している企業はいまだにあると思われますが、ここで問題が発生します。IIS5/6 は TLS1.0 までしか対応していないため、この7月以降は上図のようなエラー/警告が発生します（エラーや警告はブラウザによって異なります）。 

リバースプロキシサーバ + IIS6 で Web サーバを構築

　さて、ここからが本稿の本題です。IIS5/6 + WebCompanion/Web Server Connector を使用しながら、どうすればTLS1.2以降による暗号化を可能にするかということですが、TLS1.2以降に対応した リバースプロキシサーバを立てることによって実現できます。 今回は nginx 1.18.0 によりリバースプロキシサーバを構成しました（下図）。

　この構成により、既存の IIS6 の設定を若干変更するだけで、セキュリティが強化され、Web ブラウザに警告・エラーが表示されなくなります。

nginx リバースプロキシ + II6 によるサーバ構成

 　以下、設定方法となります。

　なお、本稿はボランティアで提供しており、その内容や結果は保証できません。「書いてある通りにやったら、サーバが壊れた！　責任取れ(怒)！！！」とか、ホントにやめてくださいね。ただ、実行結果をコメントで残して頂く、とかなら大歓迎です。

1. 既存の証明書の購入元から、PEM 形式の証明書とその秘密鍵を入手
   取得方法はサーバ証明書発行サイトによって異なりますので、詳細は証明書発行会社にお問い合わせください。
   入手した証明書ファイルと秘密鍵ファイルは、C ドライブ以外のできるだけ安全なフォルダに配置しておきます。
   
   
2. IIS6 にインストールされている証明書を削除
   インターネットインフォメーションサービスマネージャを開き、「規定のWebサイト」まで展開し、マウスを右クリックしてプロパティを開きます。
   
   
   
   
   図のように“サーバー証明書(S)”をクリックし、処理の一覧から「現在の証明書を削除する(R)」をクリックし、“次へ”をクリックします。
   削除前の確認メッセージが出ますので、“次へ”をクリックすると、IIS から証明書が削除されます。
   
   
3. IISの Web サーバポートを変更
   引き続き「Webサイト」タブをクリックし、ポート番号として以下のように入力します。
   
   

   

   IIS6 側のサーバポート変更

   
   TCPポート：8080 (80以外であれば何でも可)
   SSL ポート：（空欄）
   
   
4. nginx をダウンロードし、任意の場所に配置（インストール）
   
   https://nginx.org/en/download.html にアクセスし、Windows 用の最新安定バージョンをダウンロードし、解凍して任意の場所に配置します。
   今回は nginx/Windows-1.18.0 をダウンロードします。
   ※ Windows Server 2003 環境で解凍を行うと、実行ファイルが自動削除される可能性があります。その場合は、別の PC 上で解凍した後に Windows Server 2003 環境に配置しなおしてください。
   
   
5. nginx.conf ファイルの修正
   
   nginx フォルダ配下の conf フォルダに配置されている nginx.conf ファイルをリバースプロキシとして動作させるために、以下のように修正します。
   
   ※事前にnginx.cfg ファイルのバックアップをお取りください。
   
   以下、環境別に設定が異なる部分は適宜調整してください。
   
   
   nginx.conf

   
   #user  nginx;
   worker_processes  1;
   
   events {
       worker_connections  1024;
   }
   
   
   http {
   
       include       mime.types;
       default_type  application/octet-stream;
   
       log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                         '$status $body_bytes_sent "$http_referer" '
                         '"$http_user_agent" "$http_x_forwarded_for"';
   
       access_log  logs/access.log  main;
   
       server_tokens off;
       sendfile        on;
       tcp_nopush     on;
   
       keepalive_timeout  65;
   
   　　gzip on;
       gzip_types text/css application/javascript application/json 
                  application/font-woff application/font-tff image/gif 
                  image/png image/jpeg application/octet-stream;
       
       add_header X-XSS-Protection "1; mode=block";
       add_header X-Frame-Options SAMEORIGIN;
       add_header X-Content-Type-Options nosniff;
   
   
       server {
    
           listen 80;
     
           server_name  yourdomain.co.jp;
   
           location / {
              proxy_pass http://127.0.0.1:8080;
           }
           # redirect server error pages to the static page /50x.html
           #
           error_page   500 502 503 504  /50x.html;
           location = /50x.html {
               root   html;
           }
   
       }
   
       # HTTPS server
       #
       server {
           
           listen 443 ssl;
           server_name yourdomain.co.jp;
   
           ssl_certificate     d:\\app\\cert\\fullchain.pem;
           ssl_certificate_key d:\\app\\cert\\privkey.pem;
     
           ssl_session_cache    shared:SSL:1m;
           ssl_session_timeout  5m;
           ssl_ciphers ECDHE+RSAGCM:ECDH+AESGCM:DH+AESGCM:DH+AES256:DH+AES:
                      !EXPORT:!DES:!3DES:!MD5:!DSS;
           ssl_prefer_server_ciphers on;
   
           location / {
              proxy_pass http://127.0.0.1:8080;
          }
          
       }
   
   }
   
   
   

   
   proxy_pass で示された URL のポート番号は、手順 3. で指定したものを入力します。
   HTTPS サーバブロックの proxy_pass にも同じものを入力します。
   
   ここまで修正したら設定ファイルを上書き保存します。
   
   
6. nginx 起動テストを実行
   
   コマンドプロンプトを開き、nginx フォルダまで移動してから、以下のように入力します。
   
   nginx
   
   ※ 起動直後にポートアクセスへの許可を求めるダイアログが表示されたら、すべて許可しておきます。
   
   Web ブラウザを開き、従来の URL にアクセスします。
   警告メッセージが出ずに従来の Web ページが表示されれば成功です。
   
   前述の nginx.conf 設定で証明書の設定も行っていますので、http://、https://　ともにアクセステストを行ってください。
   
   
7. nginx を停止
   
   nginx 起動テストに成功したら、いったん nginx を停止させます。
   コマンドプロンプトをもう一つ開き、以下のように入力します。
   
nginx -s stop
   
   nginx プロセスが終了します。
   
   
8. nginx を Windows サービスとして登録
   
   nginx を Windows サービスとして登録して常駐させるには、winsw という外部ツールを使います。
   
   以下のサイトより　winsw というツールをダウンロードします。
   https://repo.jenkins-ci.org/releases/com/sun/winsw/winsw/
   
   ここでは最新版の winsw-2.9.0-bin.exe  をダウンロードします。
   ダウンロード済みの実行ファイルは任意の場所に配置してもよいのですが、nginx と同じフォルダに配置したほうが管理はしやすいかと思います。
   
   winsw-2.9.0-bin.exe ファイルを配置したら、同じフォルダの中に winsw-2.9.0-bin.xml という名称で空のファイルを作成し、テキストエディタで開きます。
   
   winsw-2.9.0-bin.xml ファイルに以下のように入力します。
   以下、nginx.exe へのパスは適宜調整してください。
   
   
   winsw-2.9.0-bin.xml

   <service>
     <id>nginx</id>
     <name>nginx</name>
     <description>nginx</description>
     <logpath>D:\Program Files\nginx-1.18.0\logs</logpath>
     <logmode>roll</logmode>
     <depend></depend>
     <executable>D:\Program Files\nginx-1.18.0\nginx.exe</executable>
     <startargument></startargument>
     <stopexecutable>D:\Program Files\nginx-1.18.0\nginx.exe</stopexecutable>
     <stopargument>-s</stopargument>
     <stopargument>stop</stopargument>
   </service>    

   
   修正が終わったらファイルを保存します。
   
   コマンドプロンプトを開き、winsw-2.9.0-bin.exe　を配置したフォルダまで移動し、以下のように入力すると、nginx がサービスとして登録されます。
   
winsw-2.9.0-bin.exe install
   
   インストールに成功すると、以下のような結果が表示されます。
   
   2020-07-04 00:06:46,000 INFO  - Installing the service with id 'nginx'
   
   
9. nginx サービスの開始
   Windows サービスに nginx が登録されていることを確認し、“開始”をクリックすると nginx が起動し、稼働状態となります。
   
   
   
   
10. サーバ動作最終チェック
    Web ブラウザを開き、従来どおりに Web サーバにアクセスし、無事にページが表示されれば終了です。
    

お疲れさまでした。

おまけ：

nginx を Windows サービスから削除する場合は、コマンドプロンプトで以下のように入力します。

winsw-2.9.0-bin.exe uninstall

■ FileMaker 5/6等レガシーシステム関連記事

太古の FileMaker システムを延命させる！ ― 後日談FileMaker（17/09/07投稿）
下記記事のレガシー延命スキームの実施と結果について。

太古の FileMaker システムを延命させる！（17/04/25投稿）
Remote Desktop Server/FileMaker Pro 5.5 搭載の Windows Server 2008 物理マシンを P2Vし、Hyper-Vに移行することにより、レガシーシステムの延命を図る。

FileMaker 5.5/6 をモバイルで使う（16/05/25投稿）
Android/iOS に Remote Desktop Client を載せて、FileMaker Go のようなことをしてみます。
 
今なお輝くFileMaker 5.5/6（16/05/23投稿）
レガシーFileMaker の意外な利点。

（亀）

IIS7 でサイトページの内容の一部を自動的に書き換える方法

　Apache では、mod_layout モジュールを使ってページ内容の一部を書き換えたり、URL を変更したりすることができますが、 IIS7 単体ではできません。

　しかし、Microsoft サイトで提供されている URL 書き換えモジュール(URL Rewrite Module) を使うと、同様の操作が可能となります。

　今回は、この URL 書き換えモジュールを使って、ページの文末を書き換える方法について説明します。


1. URL Rewrite Module 2.0 をマイクロソフト公式ダウンロードサイトよりダウンロードし、IIS7 を運用中のサーバにインストールします。

Microsoft URL Rewrite Module 2.0 for IIS 7 (X64) ダウンロード
Microsoft URL Rewrite Module 2.0 for IIS 7 (X86) ダウンロード

　インターネット インフォメーション サービス (IIS) マネージャを起動すると、以下のように、URL 書き換えアイコンが表示されていればインストール成功です。

2. サーバ全体で書き換えを適用する場合は、左ペインのサーバ名をクリックしてから、URL 書き換えアイコンをダブルクリックします。

 URL 書き換えの規則を管理するウィンドウに切り替わりますので、画面下部の「HTTP 応答のヘッダーまたはコンテンツに適用される送信規則」のセクションをクリックし、次に右ペインより「規則の追加...」をクリックします。

3. 送信規則のセクションで「空の規則」が選択されていることを確認し、“OK” をクリックします。

　　送信規則の編集ウィンドウに切り替わります。

4. 名前と必須条件を決めます。

　[名前（N）]　に任意の名前を入力し（下図では adcode）、[必須条件(P)]の一覧より「<新しい必須条件の作成...>」を選択すると、下図のように必須条件編集ダイアログが表示されます。

　ここで、[名前] に任意の条件名を入力し（下図では bodyEnd）、[仕様] は「正規表現」が選択されていることを確認してから、“追加”ボタンをクリックすると、下図のような正規表現指定ダイアログが表示されますので、以下のように入力します。

　[条件の入力(C)]　{RESPONSE_CONTENT_TYPE} (デフォルト)
　[入力文字列が次の条件を満たしているかどうかをチェック] パターンに一致する（デフォルト）
　[パターン(T)]　^text/html
　[大文字と小文字を区別しない] チェック付き（デフォルト）

　ここまで入力が終わったら、“OK” ボタンをクリックすると、必須条件の追加ダイアログに戻りますので、内容を確認してから “OK” をクリックして閉じます。

5. 書き換え用のテキストを設定します。

　画面中央の[パターン]に書き換えるタグを入力し（下図では
）、アクションのセクションでは、[アクションの種類(Y)] は「書き換え」（デフォルト）、[アクションのプロパティ]には任意の文字列を入力します。

　ここでは、ページの末尾を Powered by Tsuchiya Planning Company </body> で書き換えるという規則を指定したものです。

　ヘッダ部分を書き換えるのであれば、[パターン] を </head>、にし、[アクションのプロパティ] に任意の文字列や制御コードと記述し、</head> で閉じるようにします。
　すべての操作が終わったら、ウィンドウ右上の“適用”をクリックします。


6. ページをロードして、設定が反映されていることを確認します。

　試しに、http://localhost/iisstart.htm にアクセスしてみましょう。
　以下のように、指定した文字列がページの最後に表示されていれば成功です。

　この方法を応用すると、サイトのすべてのページにアクセス解析のトラッキングコードを自動挿入したり、ページの先頭や末尾に広告を自動挿入したりすることができます。

How to fine tune your WordPress settings to allow image file uploads on IIS7

We have been testing WordPress 3.2.1 and found out that it would not upload any image files.

You may end up with the following error or something similar when you try to upload an image:
Unable to create directory *********/wp-content/uploads. Is its parent directory writable by the server?

This error occurs when you have not given the IUSR account write-access to uploads directory.

You may be able to fix this problem with the following steps:
(Note: we assume that the PHP environment is properly set up, so the detailed instructions on php.ini settings are not mentioned here.)

1. Make sure a folder named uploads exists in wp-content.

This directory is oftentimes not automatically created in the IIS environment, so you may have to create it on your own.

2. Right-click on uploads directory to bring up Security tab.
Add IUSR to the user list and assign write-access to it.

3. Now, go back to the WordPress media settings and make sure if the URL for file uploads is wp-content/uploads.

IIS7 にインストールされた WordPress からファイルのアップロードができない場合の調整方法

　Windows Server 2008 R2 の IIS7 環境に WordPress 3.2.1 をインストールしてみたのですが、デフォルトのままでは WordPress から画像やファイルをアップロードできないことがわかりました。

　まず、アップロードを試みると、以下のようなエラーメッセージが出てしまいます。

ディレクトリ /wp-content/uploads/YYYY/MM を作成できませんでした。この親ディレクトリのアクセス権はサーバーによる書き込みを許可していますか ?

これは明らかにディレクトリパーミッションが問題で発生するトラブルですので、以下の順に確認しながら調整します。
（php.ini の設定ではファイルアップロードを有効にしていることを前提にしていますので、php 設定についてはここでは省略します。）

1. wp-content フォルダの下に uploads フォルダがあることを確認。
uploads フォルダがなければ作成してください。



2. uploads フォルダのアクセス権に IUSR が登録されていることを確認。
IUSR がなければ、図のように IUSR を追加して、書き込み権限だけを与えます。

注意:デフォルトの IIS_IUSRS だけではアップロードするための権限が足りないため、ローカルコンピュータの IUSR を手動で追加する必要があります。



3. WordPress のメディア設定の「アップロードするファイルの保存場所」が wp-content/uploads になっていることを確認します。



　これで当方は画像のアップロードができるようになりました。
　当方で試した WordPress のバージョンは 3.2.1 ですが、以前のバージョンでもアップロード設定で躓いた方は、この方法で試してみると解決するかもしれません。

IIS 運用中のマシンでイベント ID 115 のエラーが発生したらポート番号を疑ってみる

　Windows Server 環境で IIS による Web サーバを運用している場合、マシン起動時や WWW サービス起動時にイベント ID 115 のエラーが出ることがあります。

エラー内容：
「サービスはインスタンス 2 をバインドできませんでした。このデータはエラー コードです。
このメッセージに関する追加情報については、以下のマイクロソフト オンライン サポートのサイトを参照してください: http://www.microsoft.com/contentredirect.asp」

　上記ではインスタンスが 2 になっていますが、1 や他の番号が返されることもあります。
　これは IIS に設定されている Web サイトに対応する番号になっています。たとえば、Windows Server 2000 の IIS はインストール時に「既定の Web サイト」と「管理者 Web サイト」の 2 つのサイトを生成します。

　よって、サイトとインスタンスの関係は次のようになります。
　「既定の Web サイト」--- インスタンス 1
　「管理者 Web サイト」--- インスタンス 2

　今回のエラーはインスタンス 2 (= 管理者 Web サイト）で発生していたことになります。
　管理者 Web サイトの場合、IIS が 2000 ～ 9999 の範囲内で勝手にポート番号を自動割り当てするようになっているそうで、割り当てられたポート番号が別のアプリケーションにすでに使用されている場合は当然競合エラーが起こります。

　このサーバに自動割当されていたポート番号は 5900 で、これが VNC ポートと競合していました。


　ポート番号を任意の番号に変更して IIS を再起動したところ、エラーは解消しました。
　イベントビューアで同じようなエラーが発生している方は、一度ポート番号の競合を疑ってみると良いかもしれません。

参考サイト：
Web サイトおよび FTP サイトについて