成功的 HTTPS 請求涉及 HTTP 客戶端驗證 服務(wù)器根據(jù)已知且受信任的根列表提供的 TLS 證書 證書。 PHP Curl 擴展沒有什么不同；卷曲 擴展使用 libcurl 發(fā)出 HTTPS 請求，而 libcurl 又使用 OpenSSL 等 TLS 庫來驗證請求。

Curl 擴展需要一個包含以下內(nèi)容的有效文件：所有的 受信任的根證書來完成HTTPS驗證，以及PHP 將其公開為 php.ini 文件中的指令。

在 Linux、BSD 和 macOS 上，libcurl 可以默認為系統(tǒng)根目錄 證書，但這在 Windows 上是不可能的，因為 Windows 確實 不附帶包含所有系統(tǒng)根目錄的單個文件 證書。

本文討論了使用 Curl 擴展成功發(fā)出 HTTPS 請求的兩種可能方法，以及不采取哪些措施可能導(dǎo)致 HTTPS 請求不安全。

失敗原因

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
curl_exec($ch); // false  

curl_error($ch);
// SSL certificate problem: unable to get local issuer certificate

如果curl_exec調(diào)用失敗并返回錯誤響應(yīng)，并且如果curl_error指示SSL證書問題：無法獲取本地頒發(fā)者證書錯誤，這意味著Curl未提供包含根證書的文件，或者無法發(fā)現(xiàn)它。

此錯誤在 Linux、BSD 和 macOS 系統(tǒng)上并不常見，但相當(dāng)多 Windows上常見，因為沒有指定文件獲取root 證書，并且 PHP 不在其上提供根證書列表

解決方案是提供一個包含最新根目錄的文件 證書，或者理想情況下，讓 Curl 解析本地根存儲 底層操作系統(tǒng)提供。

使用本機證書頒發(fā)機構(gòu)

在 Curl 7.71 及更高版本上，可以設(shè)置 Curl 請求 Curl 使用本機（系統(tǒng)）根證書的選項。 這甚至在 Windows 上也有效，其中 Curl 解析系統(tǒng)根證書 并使用它們。

當(dāng) CURLOPT_SSL_OPTIONS 選項設(shè)置為 CURLSSLOPT_NATIVE_CA 時 或包含這些位的位掩碼，Curl 嘗試使用本機 根證書存儲，取決于證書的功能和版本 底層 TLS 庫。

如果 Curl 擴展是使用 Curl 7.71 或更高版本以及 PHP 8.2 及更高版本構(gòu)建的，這是建議的修復(fù)。

 $ch = curl_init('https://php.watch');
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
    curl_exec($ch);

請注意，上面的代碼片段不會檢查Curl 版本和 PHP 版本，并假設(shè)滿足 PHP 和 Curl 版本要求。這 以下是有條件地添加 Curl 選項的示例：

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
if (defined('CURLSSLOPT_NATIVE_CA')  
  && version_compare(curl_version()['version'], '7.71', '>=')) {  
    curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
}  
curl_exec($ch);

下載并維護 cacert.pem 文件

對于在 8.2 之前的 PHP 版本上運行的應(yīng)用程序（其中 CURLSSLOPT_NATIVE_CA 常量不可用），或者當(dāng) Curl 版本低于 7.71 時， 推薦的替代解決方案是下載 Curl 兼容的 根證書文件，并配置 PHP 或 Curl 請求來使用它。

Curl 項目維護著最新的證書列表。請參閱從 Mozilla 提取的 CA 證書。

1. 下載 cacert.pem 文件

2. 將文件移動到 PHP 和 Web 服務(wù)器可訪問的目錄。例如，C:/php/cacert.pem。

3. 編輯 php.ini 文件并修改curl.cainfo 條目以指向 cacert.pem 文件的絕對路徑。

4. [curl]
   ; A default value for the CURLOPT_CAINFO option. This is required to be an
   ; absolute path.
   ;curl.cainfo =
   curl.cainfo = "C:/php/cacert.pem"

5. （可選）重新啟動 Web 服務(wù)器（例如Apache）重新加載 INI 文件。
   

這種方法的缺點是 cacert.pem 文件必須定期更新。 cacert.pem 例如，Curl 項目提供的文件是從根目錄中提取的 由 Mozilla 維護的商店。平均而言，此列表和文件得到 每年更新4-5次。確保與最新root兼容 證書列表，請確保更新此文件的本地副本 定期

如果無法修改 INI 文件，請在 Curl 請求中指定 cacert.pem 文件的絕對路徑：

 $ch = curl_init('https://php.watch');
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 curl_setopt($ch, CURLOPT_CAINFO, 'C:/php/cacert.pem');
 curl_exec($ch);

在 PHP 8.2 和 Curl 7.77 上，可以使用 CURLOPT_CAINFO_BLOB 選項獲取包含 cacert.pem 內(nèi)容的字符串。

以上是如何修復(fù) Windows 上的 PHP Curl HTTPS 證書頒發(fā)機構(gòu)問題的詳細內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！