成功的 HTTPS 請(qǐng)求涉及 HTTP 用戶端驗(yàn)證 伺服器根據(jù)已知且受信任的根列表提供的 TLS 證書 證書。 PHP Curl 擴(kuò)充功能沒有什麼不同；捲曲 擴(kuò)充功能使用 libcurl 發(fā)出 HTTPS 請(qǐng)求，而 libcurl 又使用 OpenSSL 等 TLS 函式庫來驗(yàn)證請(qǐng)求。

Curl 擴(kuò)充功能需要一個(gè)包含以下內(nèi)容的有效檔案：所有的 受信任的根證書來完成HTTPS驗(yàn)證，以及PHP 將其公開為 php.ini 檔案中的指令。

在 Linux、BSD 和 macOS 上，libcurl 可以預(yù)設(shè)為系統(tǒng)根目錄 證書，但這在 Windows 上是不可能的，因?yàn)?Windows 確實(shí) 不附帶包含所有系統(tǒng)根目錄的單一文件 證書。

本文討論了使用 Curl 擴(kuò)充功能成功發(fā)出 HTTPS 請(qǐng)求的兩種可能方法，以及不採取哪些措施可能導(dǎo)致 HTTPS 請(qǐng)求不安全。

失敗原因

$ch?=?curl_init('https://php.watch');??
curl_setopt($ch,?CURLOPT_RETURNTRANSFER,?true);??
curl_exec($ch);?//?false??

curl_error($ch);
//?SSL?certificate?problem:?unable?to?get?local?issuer?certificate

如果curl_exec呼叫失敗並回傳錯(cuò)誤回應(yīng)，並且如果curl_error指示SSL憑證問題：無法取得本地頒發(fā)者憑證錯(cuò)誤，這表示Curl未提供包含根證書的文件，或無法發(fā)現(xiàn)它。

此錯(cuò)誤在 Linux、BSD 和 macOS 系統(tǒng)上並不常見，但相當(dāng)多 Windows上常見，因?yàn)闆]有指定檔案取得root 證書，並且 PHP 不在其上提供根證書列表

解決方案是提供一個(gè)包含最新根目錄的文件 證書，或者理想情況下，讓 Curl 解析本地根存儲(chǔ) 底層作業(yè)系統(tǒng)提供。

使用本機(jī)憑證授權(quán)單位

在 Curl 7.71 及更高版本上，可以設(shè)定 Curl 請(qǐng) Curl 使用本機(jī)（系統(tǒng)）根憑證的選項(xiàng)。 這甚至在 Windows 上也有效，其中 Curl 解析系統(tǒng)根證書 並使用它們。

當(dāng) CURLOPT_SSL_OPTIONS 選項(xiàng)設(shè)定為 CURLSSLOPT_NATIVE_CA 時(shí) 或包含這些位元的位元掩碼，Curl 嘗試使用本機(jī) 根證書存儲(chǔ)，取決於證書的功能和版本 底層 TLS 庫。

如果 Curl 擴(kuò)充功能是使用 Curl 7.71 或更高版本以及 PHP 8.2 及更高版本建構(gòu)的，這是建議的修復(fù)。

?$ch?=?curl_init('https://php.watch');
??curl_setopt($ch,?CURLOPT_RETURNTRANSFER,?true);
???curl_setopt($ch,?CURLOPT_SSL_OPTIONS,?CURLSSLOPT_NATIVE_CA);
????curl_exec($ch);

請(qǐng)注意，上面的程式碼片段不會(huì)檢查Curl 版本和 PHP 版本，並假設(shè)滿足 PHP 和 Curl 版本要求。這 以下是有條件地新增 Curl 選項(xiàng)的範(fàn)例：

$ch?=?curl_init('https://php.watch');??
curl_setopt($ch,?CURLOPT_RETURNTRANSFER,?true);??
if?(defined('CURLSSLOPT_NATIVE_CA')??
??&&?version_compare(curl_version()['version'],?'7.71',?'>='))?{??
????curl_setopt($ch,?CURLOPT_SSL_OPTIONS,?CURLSSLOPT_NATIVE_CA);
}??
curl_exec($ch);

下載並維護(hù) cacert.pem 檔案

對(duì)於在 8.2 之前的 PHP 版本上執(zhí)行的應(yīng)用程式（其中 CURLSSLOPT_NATIVE_CA 常數(shù)不可用），或當(dāng) Curl 版本低於 7.71 時(shí)， 推薦的替代解決方案是下載 Curl 相容的 根證書文件，並配置 PHP 或 Curl 請(qǐng)求來使用它。

Curl 項(xiàng)目維護(hù)著最新的證書清單。請(qǐng)參閱從 Mozilla 提取的 CA 憑證。

1. 下載 cacert.pem 檔案

2. 將檔案移至 PHP 和 Web 伺服器可存取的目錄。例如，C:/php/cacert.pem。

3. 編輯 php.ini 檔案並修改curl.cainfo 條目以指向 cacert.pem 檔案的絕對(duì)路徑。

4. $ch?=?curl_init('https://php.watch');??
   curl_setopt($ch,?CURLOPT_RETURNTRANSFER,?true);??
   curl_exec($ch);?//?false??
   
   curl_error($ch);
   //?SSL?certificate?problem:?unable?to?get?local?issuer?certificate

5. （選用）重新啟動(dòng) Web 伺服器（例如 Apache）以重新載入 INI 檔案。
   

這種方法的缺點(diǎn)是必須定期更新 cacert.pem 檔案。 cacert.pem 例如，Curl 專案提供的檔案是從根目錄中提取的 由 Mozilla 維護(hù)的商店。平均而言，此列表和文件得到 每年更新4-5次。確保與最新root的兼容性 證書列表，請(qǐng)確保更新此文件的本機(jī)副本 定期

如果無法修改INI 文件，請(qǐng)?jiān)贑url 請(qǐng)求中指定cacert.pem 文件的絕對(duì)路徑：

?$ch?=?curl_init('https://php.watch');
??curl_setopt($ch,?CURLOPT_RETURNTRANSFER,?true);
???curl_setopt($ch,?CURLOPT_SSL_OPTIONS,?CURLSSLOPT_NATIVE_CA);
????curl_exec($ch);

在PHP 8.2 和Curl 7.77 上，可以使用CURLOPT_CAINFO_OB 選項(xiàng)來取得包含cacert.pem 內(nèi)容的字串。

以上是如何修復(fù) Windows 上的 PHP Curl HTTPS 憑證授權(quán)單位問題的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！