【发布时间】:2018-04-01 23:42:17
【问题描述】:
使用忽略证书验证的标准解决方案后,Invoke-RestMethod 正在返回:
Invoke-RestMethod : A system error occurred and has been logged. Please try again later or contact your administrator.
我今天才注意到这个失败,所以我认为它与 Powershell 更新有关。 “标准解决方案”是指:
[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }
几个月前停止工作,并在添加到 Powershell 的 C# 类型中正确设置回调(历史记录中的以下描述)。
这是我的环境:
> $PSVersionTable
Name Value
---- -----
PSVersion 5.1.15063.674
PSEdition Desktop
PSCompatibleVersions {1.0, 2.0, 3.0, 4.0...}
BuildVersion 10.0.15063.674
CLRVersion 4.0.30319.42000
WSManStackVersion 3.0
PSRemotingProtocolVersion 2.3
SerializationVersion 1.1.0.1
这里有一点历史,所以这个问题不只是作为重复而被关闭。
历史
如果您在 Google 周围搜索或搜索 StackOverflow,您会发现这个问题带有一些预设回复。但是,今天我注意到所有标准解决方案都不再起作用了。
Powershell 给出的标准错误是:
Invoke-RestMethod : The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
论坛上给出的标准答案是在你打电话给Invoke-RestMethod之前使用这个命令:
[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }
但如果您使用的是最新版本的 Windows 10 / 2016 和 Powershell,那么您对 Invoke-RestMethod 的调用将返回:
Invoke-RestMethod : The underlying connection was closed: An unexpected error occurred on a send.
在on Huddled Masses blog 中找到了发生这种情况的解释。可以概括为:
将 ServerCertificateValidationCallback 设置为脚本块对异步回调(发生在任务线程上的回调)不起作用,因为另一个线程没有运行空间来执行脚本。
最初,我一直在用这段代码解决这个问题:
if (-not ([System.Management.Automation.PSTypeName]"TrustAllCertsPolicy").Type)
{
Add-Type -TypeDefinition @"
using System.Net;
using System.Security.Cryptography.X509Certificates;
public class TrustAllCertsPolicy : ICertificatePolicy {
public bool CheckValidationResult(
ServicePoint srvPoint, X509Certificate certificate,
WebRequest request, int certificateProblem)
{
return true;
}
}
"@
}
if ([System.Net.ServicePointManager]::CertificatePolicy.ToString() -ne "TrustAllCertsPolicy")
{
[System.Net.ServicePointManager]::CertificatePolicy = New-Object TrustAllCertsPolicy
}
但是,这在 Windows Server 2016 上不起作用,尽管它在 Windows 10 上运行良好。所以,基于Huddled Masses,我写了这个来处理 C# 中的证书验证回调而不是脚本块:
function Disable-SslVerification
{
if (-not ([System.Management.Automation.PSTypeName]"TrustEverything").Type)
{
Add-Type -TypeDefinition @"
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;
public static class TrustEverything
{
private static bool ValidationCallback(object sender, X509Certificate certificate, X509Chain chain,
SslPolicyErrors sslPolicyErrors) { return true; }
public static void SetCallback() { System.Net.ServicePointManager.ServerCertificateValidationCallback = ValidationCallback; }
public static void UnsetCallback() { System.Net.ServicePointManager.ServerCertificateValidationCallback = null; }
}
"@
}
[TrustEverything]::SetCallback()
}
function Enable-SslVerification
{
if (([System.Management.Automation.PSTypeName]"TrustEverything").Type)
{
[TrustEverything]::UnsetCallback()
}
}
这在很长一段时间内都运行良好,但就在最近,当我致电 Invoke-RestMethod 时,我开始收到以下错误:
Invoke-RestMethod : A system error occurred and has been logged. Please try again later or contact your administrator.
我知道适当的解决方案只是部署证书,但通常您只是想测试一下,而不必设置适当的 PKIX。
【问题讨论】:
-
如果有什么变化,他们还没有更新他们的文档。示例 2 中仍有 [System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }。docs.microsoft.com/en-us/powershell/module/…
-
只是一个旁注,但this issue has essentially been fixed in PowerShell 6.0.0-beta7 通过将
-SkipCertificateCheck参数添加到Invoke-WebRequest和Invoke-RestMethod。显然对 PowerShell 5.1 及更早版本没有帮助,但应该在以后的版本中解决。 -
我认为我已将其与我尝试使用的 Web 服务中的问题隔离开来。我认为微软的东西还在起作用;但是,Microsoft 建议在脚本块中进行验证检查的修复肯定不起作用。
标签: rest powershell ssl windows-10 windows-server-2016