当服务器上只有 TLS 1.2 可用时，Powershell 在调用 AuthenticateAsClient 期间失败

Question

我正在尝试使用 Powershell 创建一个安全套接字，但它在调用 AuthenticateAsClient 期间失败并出现各种错误，例如

Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host.

或

A call to SSPI failed, see inner exception.

实际错误似乎因我尝试连接的主机而异。假设您有一台已禁用 TLS 1.0 的可用服务器，则复制该问题所需的代码非常简单。注意我已经尝试了多种服务器版本，但以下是在 Windows Server 2019、默认配置和 Powershell 5.1 上测试的。

$hostName = "myserver.com"
$port = 443
$client = New-Object Net.Sockets.TcpClient
$client.Connect($hostName,$port)
$ssl = New-Object System.Net.Security.SslStream($client.GetStream())
try {
    $ssl.AuthenticateAsClient($hostName)
    "Host: $hostName"
    "Authenticated: $($ssl.IsAuthenticated)"
    "Algorithm: $($ssl.CipherAlgorithm) $($ssl.CipherStrength)"
    "Hash: $($ssl.HashAlgorithm) $($ssl.HashStrength)"
    "Key exchange algorithm: $($ssl.KeyExchangeAlgorithm) $($ssl.KeyExchangeStrength)"
    "SSL protocol: $($ssl.SslProtocol)"    
} catch {
    Write-Error $_
} finally {
    $client.close()
}

这里和互联网上有一个常见的建议，即设置可用协议以使用 TLS 1.2，如下所示：

[System.Net.ServicePointManager]::SecurityProtocol =[System.Net.SecurityProtocolType]'Tls, Tls11, Tls12, Tls13'

这意味着这将允许 dot net 自动协商服务器上最高可用的 TLS 版本，但它绝不会尝试协商高于 TLS 1.0 的版本。当旧协议版本在服务器上被禁用时，调用将失败。

如果此代码确实连接，它将显示用于连接的 TLS 版本，您可以确认您的服务器是否仍启用 TLS 1.0。

Answer 1

经过反复试验，我能得出的唯一结论是 Powershell 中存在一些与 TLS 协议相关的错误，该错误基本上忽略了全局设置的值。但是，如果在本地计算机上配置 TLS 协议，则有一个解决方案。只需按如下方式修改您的调用：

$ssl.AuthenticateAsClient( $HostAddress, $null, [System.Net.SecurityProtocolType]'Tls, Tls12', $false )

直接在此调用的重载版本中列出您需要的任何 TLS 版本。现在它将按预期协商最高的。

当服务器上只有 TLS 1.2 可用时，Powershell 在调用 AuthenticateAsClient 期间失败

Powershell failing during call to AuthenticateAsClient when only TLS 1.2 available on server

powershell

tls1.2

sslstream