使用Azure函数连接到AzureAD时会引发TLS版本问题

Question

我部署了一个Azure函数应用程序，同时在其中一个函数中使用Connect-AzureAD命令抛出错误“您正在使用TLS版本1.0、1.1和/或3 3DES密码，这些密码被废弃以改善Azure AD的安全态势”。

尽管函数应用程序

• 最小tls版本为1.2
• .NET框架为4.8.x
• 与函数应用程序相关的其他服务，如存储帐户等，使用的是最小的TLS版本1.2。

功能应用程序细节

功能运行时: Powershell

运行时版本: 3.8.2.0

在这个问题上提供任何帮助都是有帮助的。

Answer 1

在Kudu控制台上，您可以检查现有的SecurityProtocol：

PS C:\home> [Net.ServicePointManager]::SecurityProtocol
[Net.ServicePointManager]::SecurityProtocol
Ssl3, Tls

来自文档：

ServicePointManager使用.NET Framework4.7及更高版本，将使用操作系统中配置的默认安全协议。要获得默认的OS选择，如果可能的话，不要为ServicePointManager.SecurityProtocol属性设置一个值，该属性默认为SecurityProtocolType.SystemDefault。 因为SecurityProtocolType.SystemDefault设置会导致ServicePointManager使用操作系统配置的默认安全协议，因此您的应用程序可能会根据运行的操作系统以不同的方式运行。例如，Windows 7 SP1使用TLS 1.0，而Windows 8和Windows 10使用TLS 1.2。

根据文档，您可以尝试将安全协议设置为系统默认值，方法是在脚本开头添加以下命令：

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::SystemDefault

或者，它不起作用，您可以强制使用特定版本：

[Net.SecurityProtocolType]::Tls12
[Net.SecurityProtocolType]::Tls13

Answer 2

得到了这个错误，奇怪的是，当运行命令[Net.ServicePointManager]::SecurityProtocol时，它看起来像是在使用Tls12。

错误：

错误获取令牌: AADSTS1002016:您正在使用TLS1.0、1.1和/或3 3DES密码，这些密码被废弃以提高Azure的安全性。你的TenantID是:00000000-0000-0000-000000000000.请参考https://go.microsoft.com/fwlink/?linkid=2161187，并采取必要的行动来解决这个问题。如有进一步问题，请联络您的管理员。

第一次将TLS设置为1.3，如下所示：

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls13

这给了我一个例外，当我试图连接。

然后，我使用下面的命令将其设置为Tls12，然后一切正常运行：

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12