PHP cURL 证书错误

Question

我正在尝试将自定义 cer-certificate 添加到我的 PHP cURL 请求中，但我不断收到此错误：

error setting certificate verify locations:
  CAfile: /path/to/my/cert.cer
  CApath: none

我对这个错误的发现是：

1. 路径是相对的。
   如您所见，我提供了一个绝对路径。

2. 路径错误。
   我试过var_dump(file_exists($certLocation));，它给了我true，所以不是这样。

3. 文件的权限不正确。
   出于调试目的，我已将权限设置为 777。错误仍然存​​在。

4. 文件路径在链中某处没有+x-权限。
   我也设置了这个，确保从 root 开始的整个路径都有+x-permissions，但仍然没有运气。

我在这里不知所措，已经尝试了我能找到的一切，而事实是，我什至不明白错误的真正含义。什么是verify location？我能理解的是加载文件时出错。

非常感谢任何对此的启发。请参阅下面的代码示例。

谢谢。

我使用的代码：

<?php

$oCurl = curl_init($this->baseUrl);
curl_setopt($oCurl, CURLOPT_FAILONERROR, 1);
curl_setopt($oCurl, CURLOPT_TIMEOUT, $this->timeout);
curl_setopt($oCurl, CURLOPT_CONNECTTIMEOUT, $this->connectionTimeout);
curl_setopt($oCurl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($oCurl, CURLOPT_POST, 1);
curl_setopt($oCurl, CURLOPT_SSL_VERIFYPEER, 1);
curl_setopt($oCurl, CURLOPT_SSL_VERIFYHOST, 2);
curl_setopt($oCurl, CURLOPT_CAINFO, "/tmp/cert.cer");

错误：

error setting certificate verify locations:
  CAfile: /tmp/cert.cer
  CApath: none

Answer 1

如果您的 PHP 安装没有最新的 CA 根证书捆绑包，请在 curl 网站上下载该捆绑包并将其保存在您的服务器上：

http://curl.haxx.se/docs/caextract.html

然后在您的php.ini 文件中为其设置path，例如在 Windows 上：

curl.cainfo=c:\php\cacert.pem

---

注意：
关闭 CURLOPT_SSL_VERIFYPEER 允许中间人 (MITM) 攻击，这是您不想要的！

---

SRC1 - https://stackoverflow.com/a/14064903/797495
SRC2 - http://php.net/manual/en/function.curl-setopt.php#110457

Answer 2

CURLOPT_CAINFO与CURLOPT_SSL_VERIFYPEER结合使用

CURLOPT_CAINFO 应设置为 PEM 格式的 CA 或 CA 捆绑包。我设法跟踪触发此错误的 curl 代码，这就是我发现的：

在curl/openssl.c:

if(!SSL_CTX_load_verify_locations(connssl->ctx,
                                   data->set.str[STRING_SSL_CAFILE],
                                   data->set.str[STRING_SSL_CAPATH])) {
  if(data->set.ssl.verifypeer) {
    /* Fail if we insist on successfully verifying the server. */
    failf(data, "error setting certificate verify locations:\n"
          "  CAfile: %s\n  CApath: %s",
          data->set.str[STRING_SSL_CAFILE]?
          data->set.str[STRING_SSL_CAFILE]: "none",
          data->set.str[STRING_SSL_CAPATH]?
          data->set.str[STRING_SSL_CAPATH] : "none");
    return CURLE_SSL_CACERT_BADFILE;
  }
  ...

显然对SSL_CTX_load_verify_locations 的调用返回0 并结合将CURLOPT_SSL_VERIFYPEER 设置为1 的事实触发了错误。

SSL_CTX_load_verify_locations 是 openssl 库中的一个函数，根据文档 (SSL_CTX_load_verify_locations documentation)，应考虑以下语句：

"如果 CAfile 不为 NULL，则指向 PEM 格式的 CA 证书文件。"

“CAfile 在 SSL_CTX_load_verify_locations() 函数执行时被处理。”

“0 - 操作失败，因为 CAfile 和 CApath 为 NULL 或指定位置之一的处理失败。”在返回值部分

---

您可以尝试使用以下命令将您的cer 转换为pem：

openssl x509 -in /tmp/cert.cer -inform der -outform pem -out /tmp/cert.pem

但我不能保证这会起作用，因为我不确定您是否有正确的 CA 或 CA 捆绑文件。