我之前也碰到过一模一样的问题——DSC是在Local System账户上下文里运行的，这和你平时登录用户的环境差异很大，这就是为什么外部调用能成功、DSC里却报错的核心原因。下面分几个方向给你针对性的解决方案：

1. 修复证书信任问题（推荐生产环境使用） #

DSC的Local System账户有自己独立的证书存储，你登录用户信任的证书，它不一定能识别到。最稳妥的办法是把目标网站的根CA证书导入到Local System的受信任根证书颁发机构存储中，用DSC的cCertificate资源就能自动化完成：

Configuration DownloadFileWithTrustedCert {
    Import-DscResource -ModuleName cCertificate

    Node 'localhost' {
        cCertificate ImportRootCA {
            Ensure = 'Present'
            Path = 'C:\Path\To\Your\RootCA.cer'
            StoreLocation = 'LocalMachine'
            StoreName = 'Root'
        }

        # 让下载资源依赖证书导入操作，确保证书生效后再执行下载
        xRemoteFile DownloadTargetFile {
            Uri = 'https://your-target-url.com/file.zip'
            DestinationPath = 'C:\Downloads\file.zip'
            DependsOn = '[cCertificate]ImportRootCA'
        }
    }
}

如果是临时测试场景（绝对不要在生产环境这么做），可以在DSC的Script资源里临时禁用证书验证：

Script DownloadFileWithSkipCertCheck {
    GetScript = { @{} }
    TestScript = { $false }
    SetScript = {
        # 临时跳过证书验证逻辑
        [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}
        Invoke-WebRequest -Uri 'https://your-target-url.com/file.zip' -OutFile 'C:\Downloads\file.zip'
        # 执行完成后恢复默认验证逻辑
        [System.Net.ServicePointManager]::ServerCertificateValidationCallback = $null
    }
}

2. 配置系统级代理设置 #

你外部调用成功可能依赖了用户层面的代理配置，但Local System账户使用的是系统级代理。可以用DSC的Registry资源直接配置系统代理：

Configuration SetSystemProxy {
    Node 'localhost' {
        Registry ProxyServerConfig {
            Key = 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Internet Settings'
            ValueName = 'ProxyServer'
            ValueData = 'http://your-proxy-server:8080'
            ValueType = 'String'
            Ensure = 'Present'
        }

        Registry EnableProxy {
            Key = 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Internet Settings'
            ValueName = 'ProxyEnable'
            ValueData = '1'
            ValueType = 'DWord'
            Ensure = 'Present'
            DependsOn = '[Registry]ProxyServerConfig'
        }
    }
}

如果你的代理需要身份验证，在请求里显式指定代理凭证：

• 对Invoke-WebRequest：Invoke-WebRequest -Uri $url -Proxy 'http://your-proxy:8080' -ProxyUseDefaultCredentials
• 对xRemoteFile：可以搭配DSC的Credential资源管理凭证，再通过ProxyCredential参数传入

3. 针对xRemoteFile的专属优化 #

如果你使用的是较新版本的xRemoteFile模块，它本身支持SkipCertificateCheck参数，直接添加就能跳过证书验证（仅限测试场景）：

xRemoteFile DownloadTargetFile {
    Uri = 'https://your-target-url.com/file.zip'
    DestinationPath = 'C:\Downloads\file.zip'
    SkipCertificateCheck = $true
}

如果你的模块版本没有这个参数，记得先更新：Update-Module -Name xRemoteFile

内容的提问来源于stack exchange，提问作者MrBliz