首頁  >  文章  >  後端開發  >  如何修復 Windows 上的 PHP Curl HTTPS 憑證授權單位問題

如何修復 Windows 上的 PHP Curl HTTPS 憑證授權單位問題

PHP中文网
PHP中文网轉載
2024-11-11 12:24:021021瀏覽

成功的 HTTPS 請求涉及 HTTP 用戶端驗證 伺服器根據已知且受信任的根列表提供的 TLS 證書 證書。 PHP Curl 擴充功能沒有什麼不同;捲曲 擴充功能使用 libcurl 發出 HTTPS 請求,而 libcurl 又使用 OpenSSL 等 TLS 函式庫來驗證請求。

如何修復 Windows 上的 PHP Curl HTTPS 憑證授權單位問題

Curl 擴充功能需要一個包含以下內容的有效檔案:所有的 受信任的根證書來完成HTTPS驗證,以及PHP 將其公開為 php.ini 檔案中的指令。

在 Linux、BSD 和 macOS 上,libcurl 可以預設為系統根目錄 證書,但這在 Windows 上是不可能的,因為 Windows 確實 不附帶包含所有系統根目錄的單一文件 證書。

本文討論了使用 Curl 擴充功能成功發出 HTTPS 請求的兩種可能方法,以及不採取哪些措施可能導致 HTTPS 請求不安全。

失敗原因

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
curl_exec($ch); // false  

curl_error($ch);
// SSL certificate problem: unable to get local issuer certificate

如果curl_exec呼叫失敗並回傳錯誤回應,並且如果curl_error指示SSL憑證問題:無法取得本地頒發者憑證錯誤,這表示Curl未提供包含根證書的文件,或無法發現它。

此錯誤在 Linux、BSD 和 macOS 系統上並不常見,但相當多 Windows上常見,因為沒有指定檔案取得root 證書,並且 PHP 不在其上提供根證書列表

解決方案是提供一個包含最新根目錄的文件 證書,或者理想情況下,讓 Curl 解析本地根存儲 底層作業系統提供。

使用本機憑證授權單位

在 Curl 7.71 及更高版本上,可以設定 Curl 請 Curl 使用本機(系統)根憑證的選項。 這甚至在 Windows 上也有效,其中 Curl 解析系統根證書 並使用它們。

當 CURLOPT_SSL_OPTIONS 選項設定為 CURLSSLOPT_NATIVE_CA 時 或包含這些位元的位元掩碼,Curl 嘗試使用本機 根證書存儲,取決於證書的功能和版本 底層 TLS 庫。

如果 Curl 擴充功能是使用 Curl 7.71 或更高版本以及 PHP 8.2 及更高版本建構的,這是建議的修復。

 $ch = curl_init('https://php.watch');
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
    curl_exec($ch);

請注意,上面的程式碼片段不會檢查Curl 版本和 PHP 版本,並假設滿足 PHP 和 Curl 版本要求。這 以下是有條件地新增 Curl 選項的範例:

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
if (defined('CURLSSLOPT_NATIVE_CA')  
  && version_compare(curl_version()['version'], '7.71', '>=')) {  
    curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
}  
curl_exec($ch);

下載並維護 cacert.pem 檔案

對於在 8.2 之前的 PHP 版本上執行的應用程式(其中 CURLSSLOPT_NATIVE_CA 常數不可用),或當 Curl 版本低於 7.71 時, 推薦的替代解決方案是下載 Curl 相容的 根證書文件,並配置 PHP 或 Curl 請求來使用它。

Curl 項目維護著最新的證書清單。請參閱從 Mozilla 提取的 CA 憑證。

  1. 下載 cacert.pem 檔案

  2. 將檔案移至 PHP 和 Web 伺服器可存取的目錄。例如,C:/php/cacert.pem。
  3. 編輯 php.ini 檔案並修改curl.cainfo 條目以指向 cacert.pem 檔案的絕對路徑。

  4. $ch = curl_init('https://php.watch');  
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
    curl_exec($ch); // false  
    
    curl_error($ch);
    // SSL certificate problem: unable to get local issuer certificate
  5. (選用)重新啟動 Web 伺服器(例如 Apache)以重新載入 INI 檔案。

這種方法的缺點是必須定期更新 cacert.pem 檔案。 cacert.pem 例如,Curl 專案提供的檔案是從根目錄中提取的 由 Mozilla 維護的商店。平均而言,此列表和文件得到 每年更新4-5次。確保與最新root的兼容性 證書列表,請確保更新此文件的本機副本 定期

如果無法修改INI 文件,請在Curl 請求中指定cacert.pem 文件的絕對路徑:

 $ch = curl_init('https://php.watch');
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
    curl_exec($ch);

在PHP 8.2 和Curl 7.77 上,可以使用CURLOPT_CAINFO_OB 選項來取得包含cacert.pem 內容的字串。

以上是如何修復 Windows 上的 PHP Curl HTTPS 憑證授權單位問題的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:php.watch。如有侵權,請聯絡admin@php.cn刪除