windows - 调用 WebRequest : The request was aborted: Could not create SSL/TLS secure channel when using -Certificate

Question

当尝试在 PowerShell 中使用带有 -Certificate 参数的 Invoke-WebRequest 来使用客户端证书时，我收到错误消息:

Invoke-WebRequest : The request was aborted: Could not create SSL/TLS secure channel. 
At C:\Windows\Temp\PO_WorkingDir_11a96bd3-e2b3-4016-b2b8-5977c92d0bdc\PO_PSScript_11a96bd3-e2b3-4016-b2b8-5977c92d0bdc.ps1:11 char:4
$r=Invoke-WebRequest -uri "$a1/tenants/$a2" -Headers $headers -Certificate C:\Us...
CategoryInfo          : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest], WebException    
FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand

同一脚本在本地运行，但在 Accenture 工具内部它会抛出上述错误。脚本:

$r=Invoke-WebRequest -uri "$a1/tenants/$a2" -Headers $headers -Certificate C:\Users\env1.ciac.pouser.AWSVA1011\Desktop\iapiclient-cpo.acp.env1.acp.aws.accenture.com\iapiclient-cpo.acp.env1.acp.aws.accenture.com\iapiclient-cpo.acp.env1_CERT.pem -ContentType application/json -Method GET

我是不是做错了什么？该工具针对应用程序用户运行，所有脚本都针对该用户运行，该用户是管理员。

Answer 1

我们刚刚遇到了同样的问题，发现这可能是由于脚本未在具有管理员权限的“提升” session 下运行引起的。仅仅因为用户是管理员并不意味着脚本总是以管理员权限运行。您可以在脚本中添加以下内容以检测您当前是否拥有管理员权限:

function Test-IsLocalAdministrator {
    $identity  = [System.Security.Principal.WindowsIdentity]::GetCurrent()
    $principal = New-Object System.Security.Principal.WindowsPrincipal( $identity )
    return $principal.IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)
}

问题似乎是您无权访问您正在使用的证书的私钥。在我们的例子中，我们使用 Machine 证书设置双向 TLS 身份验证，非管理员用户无权访问 PrivateKey 属性。

$ValidAt = [DateTime]::Now
$certs = @(gci Cert:\LocalMachine\My | ?{$_.NotBefore -lt $ValidAt -and $_.NotAfter -gt $ValidAt -and $_.Subject -eq ("CN={0}" -f [System.Net.Dns]::GetHostByName($env:computername).HostName)})
$Cert = $certs | sort NotAfter -Descending | select -first 1
$Cert.PrivateKey #This would return $null for non-admins

Invoke-WebRequest 提供的 The request was aborted: Could not create SSL/TLS secure channel. 错误消息非常通用，但在这种情况下，它可能意味着当前 session 没有访问权限到私钥。

尝试以管理员身份运行脚本或明确向用户帐户授予对私钥的权限。