Q&A
前提・実現したいこと
現在、Powershellを用いて対象のFQDNに対してSSL通信で接続し、証明書から証明書期限等を取得するコードを作成しております。
証明書の検証する際にエラーメッセージが出力されました。
該当のソースコード
Powershell
1$webURL = "www.google.com" 2$webPort = "443" 3$commonNmame = $webURL 4 5try{ 6# TCP/IP接続 7$conn = New-Object System.Net.Sockets.TopClient($webURL,$webPort) 8# SSL通信開始 9$stream = New-Object System.Net.Security.SslStream($conn.GetStream()) 10# 証明書の検証実施 11$stream.AuthenticateAsClient($commonName) 12# 証明書の取得 13$cert = $stream.Get_RemoteCertificate() 14}catch{ 15Write-Host $error[0] 16}finally{ 17$conn.close() 18}
このコードはSSL化されている一般的なFQDNのWebサイトに対しては、正常に動作します。
発生している問題・エラーメッセージ
とあるSSL化されているFQDNのWebサイトがTLS1.2のみをSSLプロトコルとして強制している場合、該当ソースコードの部分において、以下のエラーメッセージが出力されます。(例:https://www.smbc.co.jp/)
Powershell
1$stream.AuthenticateAsClient($commonName)
"1"個の引数を指定して"AuthenticateAsClient"を呼び出し中に例外が発生しました:"SSPIへの呼び出しに失敗しました。内部例外を参照してください。"
試したこと
①TLS1.2を指定する
上記のソースコードの最初に以下のコマンドを追加して実行しました。しかし、エラーメッセージは変化なし。
Powershell
1[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
②"AuthenticateAsClient"を呼び出しの際にSSLプロトコルを指定する
以下のソースコードに変更して実行すると、以下のエラーメッセージに変わりました。
Powershell
1# 下記を参考にしてオーバーロード 2# AuthenticateAsClient(String, X509CertificateCollection, SslProtocols, Boolean) 3# Tls12:3072 TLS1.2セキュリティ プロトコルを指定します。 4$stream.AuthenticateAsClient($commonName, $null, "3072", $false)
"AuthenticateAsClient"のオーバーロードで、引数の数が"4"であるものが見つかりません。
質問
現状、TLS1.2を強制しているWebサイトには上記ソースコードでは証明書の検証ができず、非常に悩んでおります.....
この検証ができないと証明書の取得ができず、証明書期限等の情報を取得できないためです。
最終手段として、Windowsのレジストリの値を変更してTLS1.2接続を強制する方法もありますが、かなり不便になることが予想されるためできれば避けたいと考えております。
少しでもお分かりになる方がいらっしゃれば、ご回答何卒よろしくお願いします。
実行環境
- Windows10
- Powershell Version 5.1
- .NET Framework 4.8
Powershell
1# サポートされているTLSバージョン 2PS C:\> [enum]::GetNames([Net.SecurityProtocolType]) 3SystemDefault 4Ssl3 5Tls 6Tls11 7Tls12 8 9# 設定されているTLS 10PS C:\> [Net.ServicePointManager]::SecurityProtocol 11SystemDefault
あなたの回答
tips
プレビュー
