成功的 HTTPS 請(qǐng)求涉及 HTTP 客戶端驗(yàn)證 服務(wù)器根據(jù)已知且受信任的根列表提供的 TLS 證書 證書。 PHP Curl 擴(kuò)展沒有什么不同；卷曲 擴(kuò)展使用 libcurl 發(fā)出 HTTPS 請(qǐng)求，而 libcurl 又使用 OpenSSL 等 TLS 庫來驗(yàn)證請(qǐng)求。

Curl 擴(kuò)展需要一個(gè)包含以下內(nèi)容的有效文件：所有的 受信任的根證書來完成HTTPS驗(yàn)證，以及PHP 將其公開為 php.ini 文件中的指令。

在 Linux、BSD 和 macOS 上，libcurl 可以默認(rèn)為系統(tǒng)根目錄 證書，但這在 Windows 上是不可能的，因?yàn)?Windows 確實(shí) 不附帶包含所有系統(tǒng)根目錄的單個(gè)文件 證書。

本文討論了使用 Curl 擴(kuò)展成功發(fā)出 HTTPS 請(qǐng)求的兩種可能方法，以及不采取哪些措施可能導(dǎo)致 HTTPS 請(qǐng)求不安全。

失敗原因

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
curl_exec($ch); // false  

curl_error($ch);
// SSL certificate problem: unable to get local issuer certificate

如果curl_exec調(diào)用失敗并返回錯(cuò)誤響應(yīng)，并且如果curl_error指示SSL證書問題：無法獲取本地頒發(fā)者證書錯(cuò)誤，這意味著Curl未提供包含根證書的文件，或者無法發(fā)現(xiàn)它。

此錯(cuò)誤在 Linux、BSD 和 macOS 系統(tǒng)上并不常見，但相當(dāng)多 Windows上常見，因?yàn)闆]有指定文件獲取root 證書，并且 PHP 不在其上提供根證書列表

解決方案是提供一個(gè)包含最新根目錄的文件 證書，或者理想情況下，讓 Curl 解析本地根存儲(chǔ) 底層操作系統(tǒng)提供。

使用本機(jī)證書頒發(fā)機(jī)構(gòu)

在 Curl 7.71 及更高版本上，可以設(shè)置 Curl 請(qǐng)求 Curl 使用本機(jī)（系統(tǒng)）根證書的選項(xiàng)。 這甚至在 Windows 上也有效，其中 Curl 解析系統(tǒng)根證書 并使用它們。

當(dāng) CURLOPT_SSL_OPTIONS 選項(xiàng)設(shè)置為 CURLSSLOPT_NATIVE_CA 時(shí) 或包含這些位的位掩碼，Curl 嘗試使用本機(jī) 根證書存儲(chǔ)，取決于證書的功能和版本 底層 TLS 庫。

如果 Curl 擴(kuò)展是使用 Curl 7.71 或更高版本以及 PHP 8.2 及更高版本構(gòu)建的，這是建議的修復(fù)。

 $ch = curl_init('https://php.watch');
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
    curl_exec($ch);

請(qǐng)注意，上面的代碼片段不會(huì)檢查Curl 版本和 PHP 版本，并假設(shè)滿足 PHP 和 Curl 版本要求。這 以下是有條件地添加 Curl 選項(xiàng)的示例：

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
if (defined('CURLSSLOPT_NATIVE_CA')  
  && version_compare(curl_version()['version'], '7.71', '>=')) {  
    curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
}  
curl_exec($ch);

下載并維護(hù) cacert.pem 文件

對(duì)于在 8.2 之前的 PHP 版本上運(yùn)行的應(yīng)用程序（其中 CURLSSLOPT_NATIVE_CA 常量不可用），或者當(dāng) Curl 版本低于 7.71 時(shí)， 推薦的替代解決方案是下載 Curl 兼容的 根證書文件，并配置 PHP 或 Curl 請(qǐng)求來使用它。

Curl 項(xiàng)目維護(hù)著最新的證書列表。請(qǐng)參閱從 Mozilla 提取的 CA 證書。

1. 下載 cacert.pem 文件

2. 將文件移動(dòng)到 PHP 和 Web 服務(wù)器可訪問的目錄。例如，C:/php/cacert.pem。

3. 編輯 php.ini 文件并修改curl.cainfo 條目以指向 cacert.pem 文件的絕對(duì)路徑。

4. [curl]
   ; A default value for the CURLOPT_CAINFO option. This is required to be an
   ; absolute path.
   ;curl.cainfo =
   curl.cainfo = "C:/php/cacert.pem"

5. （可選）重新啟動(dòng) Web 服務(wù)器（例如Apache）重新加載 INI 文件。
   

這種方法的缺點(diǎn)是 cacert.pem 文件必須定期更新。 cacert.pem 例如，Curl 項(xiàng)目提供的文件是從根目錄中提取的 由 Mozilla 維護(hù)的商店。平均而言，此列表和文件得到 每年更新4-5次。確保與最新root兼容 證書列表，請(qǐng)確保更新此文件的本地副本 定期

如果無法修改 INI 文件，請(qǐng)?jiān)?Curl 請(qǐng)求中指定 cacert.pem 文件的絕對(duì)路徑：

 $ch = curl_init('https://php.watch');
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 curl_setopt($ch, CURLOPT_CAINFO, 'C:/php/cacert.pem');
 curl_exec($ch);

在 PHP 8.2 和 Curl 7.77 上，可以使用 CURLOPT_CAINFO_BLOB 選項(xiàng)獲取包含 cacert.pem 內(nèi)容的字符串。

以上是如何修復(fù) Windows 上的 PHP Curl HTTPS 證書頒發(fā)機(jī)構(gòu)問題的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！