如何解决错误“无法加载 PEM 客户端证书，OpenSSL 错误：02001003:system library:fopen:No such process”？

Question

如果这个问题很愚蠢，请原谅，但我是这方面的新手。 我需要从 Drupal 7 站点通过 SSL 连接到服务。我有一个带有“.p12”扩展名的文件和一个密码。另外，我使用 PHP 7.1 1 和 Windows 7 64x。 我使用以下命令将 .p12 文件转换为 .pem 文件。

openssl pkcs12 -in myfile.p12 -out myfile.pem 

在我将 Openssl 安装到我的计算机中并将路径添加到 Windows 之前。 之后，我尝试使用以下代码使用 CURL 函数连接到服务器。

$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, 'my_addr');
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
curl_setopt($ch, CURLOPT_SSLCERT, 'myfile.pem');
curl_setopt($ch, CURLOPT_SSLCERTPASSWD, 'mypsw');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

$result = curl_exec($ch);

if ($result === FALSE){
  $curl_error = curl_error($ch);
}
curl_close($ch);

不幸的是，curl_exec 返回 FALSE，而 curl_error 返回以下内容：

could not load PEM client certificate, OpenSSL error error:02001003:system library:fopen:No such process, (no key found, wrong pass phrase, or wrong file format?)

我决定在 Linux 共享主机上的客户端站点上执行此代码，而我的 localhost 在 Windows 7 64x 上运行。代码执行没有任何错误，但 curl_exec 返回一个空字符串。

我想澄清一下，我做错了什么以及为什么不想加载 PEM 客户端证书？我应该在本地主机上做什么来解决这个问题？ 我不能放弃使用 Windows 7 而开始使用 Linux。

Answer 1

对于 SSL 验证，您需要一个 pem 格式的证书，它是相关的私钥（openssl 格式）和签署您的 pem 格式证书的认证机构的根证书。

检查此完整示例：

PHP:path of CURLOPT_SSLCERT

如果你没有被告知，错误信息不是很清楚，但它说：

无法加载 PEM 客户端证书，OpenSSL 错误 error:02001003:system library:fopen:No such process, (no key found, 密码错误或文件格式错误？）

问候，

Answer 2

我敢打赌，如果你把它改成这个错误会更容易理解

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'my_addr');
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
$pem=realpath("myfile.pem");
if(!$pem || !is_readable($pem)){
    die("error: myfile.pem is not readable! realpath: \"{$pem}\" - working dir: \"".getcwd()."\" effective user: ".print_r(posix_getpwuid(posix_geteuid()),true));
}
curl_setopt($ch, CURLOPT_SSLCERT, $pem);

.. 运行 php 的帐户很可能无法读取 pem 文件（例如，如果您以 root 身份创建文件并且所有者是 root:root 并且权限是 a-r 并且 php 在帐户www-data)，另一种解释是该文件不存在 - 另一种解释是您在运行 curl_exec() 之前运行 chdir()，并且由于您使用的是相对文件路径，因此相对路径是运行 curl_exec() 时不再有效（但使用 realpath()，就像我上面所做的那样，解决了最后一个问题）