昨今のセキュリティ情勢を受けてトランスポート層の暗号化プロトコルにTLS 1.2を強制するサイトが増えてきています。

身近な例としては、GitHubが今年の2月にHTTPS通信においてTLS 1.2以前のプロトコルを廃止しています。

github.blog

本エントリではWindows PowerShellとPowerShell CoreのHTTPS通信におけるTLSの扱いについて触れていきます。

Windows PowerShellの場合

Windows PowerShellで使用される暗号化プロトコルは[Net.ServicePointManager]::SecurityProtocolプロパティで確認でき、

PS C:\> [Net.ServicePointManager]::SecurityProtocol
Ssl3, Tls

と、デフォルトではSSL3、TLS(1.0)が利用可能です。

このためデフォルト設定では最初に例示したGitHubへのアクセスはできません。
GitHubへのアクセスは下図の様にエラーとなってしまいます。

Windows PowerShellでTLS 1.2通信を許可する

デフォルトではTLS 1.2の通信はできませんが設定により有効にすることができます。

以下の様に先述の[Net.ServicePointManager]::SecurityProtocolプロパティに[Net.SecurityProtocolType]::Tls12を追加してやればOKです。

[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

実行例)

暗号化プロトコルにTLS 1.2が増えGitHubへのアクセスが可能になっているのが見て取れます。

この設定はPowerShellセッション全体で有効であり永続化はできません。
ですので常用したい場合はプロファイルにこのコードを仕込んでおけば良いでしょう。

.NET Frameworkの既定値を変える

Windows PowerShellは.NET Framework製であり使用される暗号化プロトコルは.NET Frameworkのそれに従います。

Japan IE Support Team Blogのこちらのエントリにある様にセキュリティアドバイザリを適用するかレジストリを変更することで.NET 4.5以降の設定を変えることができます。

• https://blogs.technet.microsoft.com/jpieblog/2015/04/07/net-framework-tls1-1-1-2/

social.msdn.microsoft.com

これにより.NET 4.5で動作するPowerShell 4.0以降であれば、その既定値を変えることができます。

変更例)

# 要管理者権限
New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319\ -Name SchUseStrongCrypto -Value 1

レジストリを変えた後で[Net.ServicePointManager]::SecurityProtocolプロパティの値を確認すると、下図の様にTLS 1.0～TLS 1.2が有効になっていることがわかります。

(Windows PowerShell 5.1 on Windows 10の場合)

UserVoice

設定変更すればWindows PowerShellでTLS 1.2の通信ができることは確認できましたが、いちいち変更するのは面倒です。
UserVoiceにネイティブサポートする様にリクエストが上がっていますので興味のある方はこちらにVoteすると良いでしょう。

PowerShell Coreの場合

PowerShell Coreで使用される暗号化プロトコルも[Net.ServicePointManager]::SecurityProtocolプロパティで確認でき、

PS C:\> [Net.ServicePointManager]::SecurityProtocol
SystemDefault

とSystemDefaultという設定値になっています。
これはソースを読むとTLS 1.0～TLS 1.2がサポートされていることがわかります。

SslProtocols.Tls | SslProtocols.Tls11 | SslProtocols.Tls12;

このためPowerShell CoreではデフォルトでTLS 1.2が有効であり追加の設定は必要ありません。

【補足】BetterTlsモジュール

最後に補足としてBetterTlsモジュールを紹介します。

github.com

これはテキサスのMVP元MVP*1であるMark Krausさんが作ったモジュールで、先述のWindows PowerShellでのTLS設定の変更をいくつかのコマンドにして公開したものになります。

基本的には他のモジュールに組み込んで使うことが想定されているのですが単体でも使用できます。

簡単に使い方を説明して本エントリの終わりにしたいと思います。

インストール

# Install-Moduleでインストール
Install-Module BetterTls -Scope CurrentUser

使用例

# 現在の設定を確認
PS C:\> Get-Tls
Ssl3, Tls

# TLS 1.2を有効にする
PS C:\> Enable-Tls -Tls12 -Confirm:$false

# 変更後の設定を確認
PS C:\> Get-Tls
Ssl3, Tls, Tls12

前回の続き的な。

blog.shibata.tech

前回の時点では「まだVisual Studio 2017でのビルドはうまく動作しない」と説明しましたが、つい最近Visual Studioで動作させるための修正が完了したので実際に試してみました。

github.com

はじめに

基本的なところは前回と同様です。
IDEがVisual Studio CodeからVisual Studio 2017になっただけと考えて差し支えないでしょう。

ただ、詳細は後述しますが、Visual Studioだけでビルドに関するすべての手順を賄えるわけではなく少しだけPowerShellのコマンドを併用する必要があります。

PowerShellをデバッグ実行する

ここから具体的な手順の説明に入ります。

1. Gitのインストール

ソースコードをCloneするのにGitクライアントが必要です。
適当にインストールしてgitコマンドが使える様にしておいてください。

gitforwindows.org

ちなみに、Visual Studioをインストールした後にVisual Studio Installerから「Git for Windows」を選択してインストールしても構いません。

2. ソースのClone

PowerShellのリポジトリよりソースコードをCloneします。

今回はとりあえずデバッグ実行できれば良いので前回同様にリポジトリを直接Cloneしておきます。

任意のディレクトリで以下の様に--recursiveオプションを付けてgit cloneしてください。

git clone --recursive https://github.com/PowerShell/PowerShell.git

3. Visual Studio 2017のインストール

www.visualstudio.com

Visual Studio 2017をダウンロードしてインストールしてください。

私はProfessionalとEneterpriseで動作確認しましたがどのエディションでも大丈夫だと思います。
手元のVisual Studioは結構昔にインストール済みだったので具体的なインストール手順は紹介できませんが、

• .NETデスクトップ開発 - C#をコンパイルできる標準的な構成
• .NET Coreクロスプラットフォームの開発 - 要.NET Core SDK

のワークロードがインストールされていれば良いと思います。

なお、PowerShell Coreで必要な.NET Core SDKのバージョンは随時更新されていますので、場合によってはこちらから個別にダウンロードしてインストールする必要があるかもしれません。

本エントリを書いている時点では、PowerShell Core 6.1.0-preview.1をコンパイルするのに.NET Core SDK 2.1.4が必要です。

4. その他ツールのインストール

上記の他に

• PowerShell 6.0の実行バイナリ(pwsh)
• RCEdit

が必要になります。

こちらは前回と同様ですので、build.psm1モジュールのStart-PSBootstrap関数を使ってインストールしておけば良いでしょう。

# cd [PowerShellのルートディレクトリ]
cd .\PowerShell\
Import-Module .\build.psm1
Start-PSBootstrap

5. ビルドとデバッグ実行

CloneしたソースのルートディレクトリにPowerShell.slnというソリューションファイルがあるのでVisual Studioからこれを開きます。

14のプロジェクトから成るソリューションで、Windowsの場合powershell-win-coreプロジェクトのProgram.csにエントリポイントがあります。

この初期状態で単純にソリューションのビルドをしても下図の様に幾つかエラーがでてしまいます。

これはソースをCloneした直後の状態ではメッセージ等のリソースファイルが存在していないため、リソース不足によるコンパイルエラーとなってしまうためです。

リソースはVisual Studioからは作成できず*1build.psm1モジュールのStart-PSBuild関数を使う必要があります。

次の様にbuild.psm1モジュールをインポートし、-ResGenパラメータを指定してStart-PSBuildを実行してください。

# cd [PowerShellのルートディレクトリ]
cd .\PowerShell\
Import-Module .\build.psm1
Start-PSBuild -ResGen

エラー無く処理が終われば必要なリソースは作成されています。

リソースが出来ている状態でビルドすればエラー無く完了するはずです。

デバッグを開始してやれば下図の様にふつうにステップ実行できます。

最後に

Visual Studio Codeも悪くはありませんがやっぱりVisual Studioの圧倒的な支援は最高です。
ほんとうに捗ります。