成功的 HTTPS 请求涉及 HTTP 客户端验证 服务器根据已知且受信任的根列表提供的 TLS 证书 证书。 PHP Curl 扩展没有什么不同;卷曲 扩展使用 libcurl 发出 HTTPS 请求,而 libcurl 又使用 OpenSSL 等 TLS 库来验证请求。
Curl 扩展需要一个包含以下内容的有效文件:所有的 受信任的根证书来完成HTTPS验证,以及PHP 将其公开为 php.ini 文件中的指令。
在 Linux、BSD 和 macOS 上,libcurl 可以默认为系统根目录 证书,但这在 Windows 上是不可能的,因为 Windows 确实 不附带包含所有系统根目录的单个文件 证书。
本文讨论了使用 Curl 扩展成功发出 HTTPS 请求的两种可能方法,以及不采取哪些措施可能导致 HTTPS 请求不安全。
失败原因
$ch = curl_init('https://php.watch');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_exec($ch); // false
curl_error($ch);
// SSL certificate problem: unable to get local issuer certificate 登录后复制
如果curl_exec调用失败并返回错误响应,并且如果curl_error指示SSL证书问题:无法获取本地颁发者证书错误,这意味着Curl未提供包含根证书的文件,或者无法发现它。
此错误在 Linux、BSD 和 macOS 系统上并不常见,但相当多 Windows上常见,因为没有指定文件获取root 证书,并且 PHP 不在其上提供根证书列表
解决方案是提供一个包含最新根目录的文件 证书,或者理想情况下,让 Curl 解析本地根存储 底层操作系统提供。
使用本机证书颁发机构
在 Curl 7.71 及更高版本上,可以设置 Curl 请求 Curl 使用本机(系统)根证书的选项。 这甚至在 Windows 上也有效,其中 Curl 解析系统根证书 并使用它们。
当 CURLOPT_SSL_OPTIONS 选项设置为 CURLSSLOPT_NATIVE_CA 时 或包含这些位的位掩码,Curl 尝试使用本机 根证书存储,取决于证书的功能和版本 底层 TLS 库。
如果 Curl 扩展是使用 Curl 7.71 或更高版本以及 PHP 8.2 及更高版本构建的,这是建议的修复。
$ch = curl_init('https://php.watch');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
curl_exec($ch); 登录后复制
请注意,上面的代码片段不会检查Curl 版本和 PHP 版本,并假设满足 PHP 和 Curl 版本要求。这 以下是有条件地添加 Curl 选项的示例:
$ch = curl_init('https://php.watch');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
if (defined('CURLSSLOPT_NATIVE_CA')
&& version_compare(curl_version()['version'], '7.71', '>=')) {
curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
}
curl_exec($ch); 登录后复制
下载并维护 cacert.pem 文件
对于在 8.2 之前的 PHP 版本上运行的应用程序(其中 CURLSSLOPT_NATIVE_CA 常量不可用),或者当 Curl 版本低于 7.71 时, 推荐的替代解决方案是下载 Curl 兼容的 根证书文件,并配置 PHP 或 Curl 请求来使用它。
Curl 项目维护着最新的证书列表。请参阅从 Mozilla 提取的 CA 证书。
立即学习“PHP免费学习笔记(深入)”;
下载 cacert.pem 文件
- 将文件移动到 PHP 和 Web 服务器可访问的目录。例如,C:/php/cacert.pem。
编辑 php.ini 文件并修改curl.cainfo 条目以指向 cacert.pem 文件的绝对路径。
-
[curl] ; A default value for the CURLOPT_CAINFO option. This is required to be an ; absolute path. ;curl.cainfo = curl.cainfo = "C:/php/cacert.pem"
登录后复制 (可选)重新启动 Web 服务器(例如Apache)重新加载 INI 文件。
这种方法的缺点是 cacert.pem 文件必须定期更新。 cacert.pem 例如,Curl 项目提供的文件是从根目录中提取的 由 Mozilla 维护的商店。平均而言,此列表和文件得到 每年更新4-5次。确保与最新root兼容 证书列表,请确保更新此文件的本地副本 定期
如果无法修改 INI 文件,请在 Curl 请求中指定 cacert.pem 文件的绝对路径:
$ch = curl_init('https://php.watch');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_CAINFO, 'C:/php/cacert.pem');
curl_exec($ch); 登录后复制
在 PHP 8.2 和 Curl 7.77 上,可以使用 CURLOPT_CAINFO_BLOB 选项获取包含 cacert.pem 内容的字符串。
以上就是如何修复 Windows 上的 PHP Curl HTTPS 证书颁发机构问题的详细内容,更多请关注慧达安全导航其它相关文章!
免责 声明
1、本网站名称:慧达安全导航
2、本站永久网址:https//www.huida178.com/
3、本站所有资源来源于网友投稿和高价购买,所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习,本站不提供任何技术服务!
4、本站所有资源的属示图片和信息不代表本站的立场!本站只是储蓄平台及搬运
5、下载者禁止在服务器和虚拟机下进行搭建运营,本站所有资源不支持联网运行!只允许调试,参考和研究!!!!
6、未经原版权作者许可禁止用于任何商业环境,任何人不得擅作它用,下载者不得用于违反国家法律,否则发生的一切法律后果自行承担!
7、为尊重作者版权,请在下载24小时内删除!请购买原版授权作品,支持你喜欢的作者,谢谢!
8.若资源侵犯了您的合法权益,请持 您的版权证书和相关原作品信息来信通知我们!QQ:1247526623我们会及时删除,给您带来的不便,我们深表歉意!
9、如下载链接失效、广告或者压缩包问题请联系站长处理
10、如果你也有好源码或者教程,可以发布到网站,分享有金币奖励和额外收入!
11、本站资源售价只是赞助,收取费用仅维持本站的日常运营所需
12、因源码具有可复制性,一经赞助,不得以任何形式退款。
13、本文内容由网友自发贡献和站长收集,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系1247526623@qq.com
转载请注明出处: 慧达安全导航 » 如何修复 Windows 上的 PHP Curl HTTPS 证书颁发机构问题
发表评论 取消回复