file_get_contents (): Operacja SSL nie powiodła się z kodem 1, Nie udało się włączyć szyfrowania

Próbowałem uzyskać dostęp do tej konkretnej usługi REST ze strony PHP, którą utworzyłem na naszym serwerze. Zawęziłem problem do tych dwóch linii. Moja strona PHP wygląda tak:

<?php
$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json");

echo $response; ?>

Strona umiera w wierszu 2 z następującymi błędami:

• Ostrzeżenie: file_get_contents (): Operacja SSL nie powiodła się z kodem 1. OpenSSL Komunikaty o błędach: błąd: 14090086: Procedury SSL: SSL3_GET_SERVER_CERTIFICATE: weryfikacja certyfikatu nie powiodła się ... php w linii 2
  • Ostrzeżenie: file_get_contents (): Nie można włączyć szyfrowania w ... php w linii 2
  • Ostrzeżenie: file_get_contents ( https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json): nie można otworzyć strumienia: operacja nie powiodła się w ... php w linii 2

Używamy serwera Gentoo. Niedawno zaktualizowaliśmy do wersji PHP 5.6. Ten problem pojawił się po aktualizacji.

Znalazłem, kiedy zastępuję usługę REST adresem takim jak https://www.google.com; moja strona działa dobrze.

We wcześniejszej próbie ustawiłem “verify_peer”=>falsei przekazałem to jako argument do file_get_contents, jak opisano tutaj: file_get_contents ignorując Verify_peer => false? Ale jak zauważył pisarz; to nie miało znaczenia.

Zapytałem jednego z naszych administratorów serwerów, czy istnieją następujące wiersze w naszym pliku php.ini:

• rozszerzenie = php_openssl.dll
• allow_url_fopen = Wł

Powiedział mi, że skoro jesteśmy na Gentoo, openssl jest kompilowany podczas kompilacji; i nie jest ustawiony w pliku php.ini.

Potwierdziłem również, że allow_url_fopendziała. Ze względu na specjalistyczny charakter tego problemu; Nie znajduję wielu informacji o pomocy. Czy ktoś z was spotkał coś takiego? Dzięki.

Był to niezwykle pomocny link do znalezienia:

http://php.net/manual/en/migration56.openssl.php

Oficjalny dokument opisujący zmiany wprowadzone w celu otwarcia ssl w PHP 5.6 Odtąd dowiedziałem się o jeszcze jednym parametrze, który powinienem ustawić na false: "

Uwaga: Ma to bardzo znaczący wpływ na bezpieczeństwo. Wyłączenie weryfikacji potencjalnie pozwala osobie atakującej MITM na użycie nieprawidłowego certyfikatu do podsłuchania żądań. Chociaż może być to przydatne w rozwoju lokalnym, w produkcji należy stosować inne podejścia.

Mój działający kod wygląda następująco:

<?php
$arrContextOptions=array(
    "ssl"=>array(
        "verify_peer"=>false,
        "verify_peer_name"=>false,
    ),
);  

$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json", false, stream_context_create($arrContextOptions));

echo $response; ?>

Nie należy po prostu wyłączać weryfikacji. Raczej powinieneś pobrać pakiet certyfikatów, może pakiet curl zrobi?

Następnie wystarczy umieścić go na serwerze WWW, dając użytkownikowi, który uruchamia php, uprawnienia do odczytu pliku. Następnie ten kod powinien działać dla Ciebie:

$arrContextOptions=array(
    "ssl"=>array(
        "cafile" => "/path/to/bundle/cacert.pem",
        "verify_peer"=> true,
        "verify_peer_name"=> true,
    ),
);

$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json", false, stream_context_create($arrContextOptions));

Mamy nadzieję, że certyfikat główny witryny, do której próbujesz uzyskać dostęp, znajduje się w pakiecie curl. Jeśli tak nie jest, nadal nie będzie działać, dopóki nie zdobędziesz certyfikatu głównego witryny i nie umieścisz go w pliku certyfikatu.

Naprawiłem to, upewniając się, że OpenSSL został zainstalowany na moim komputerze, a następnie dodając to do mojego php.ini:

openssl.cafile=/usr/local/etc/openssl/cert.pem

Możesz obejść ten problem, pisząc niestandardową funkcję używającą curl, jak w:

function file_get_contents_curl( $url ) {

  $ch = curl_init();

  curl_setopt( $ch, CURLOPT_AUTOREFERER, TRUE );
  curl_setopt( $ch, CURLOPT_HEADER, 0 );
  curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1 );
  curl_setopt( $ch, CURLOPT_URL, $url );
  curl_setopt( $ch, CURLOPT_FOLLOWLOCATION, TRUE );

  $data = curl_exec( $ch );
  curl_close( $ch );

  return $data;

}

Następnie używaj file_get_contents_curlzamiast, file_get_contentsgdy dzwonisz do adresu URL zaczynającego się od https.

Pracując dla mnie, używam PHP 5.6. rozszerzenie openssl powinno być włączone i podczas wywoływania google map api Verify_peer make false Poniższy kod działa dla mnie.

<?php
$arrContextOptions=array(
    "ssl"=>array(
         "verify_peer"=>false,
         "verify_peer_name"=>false,
    ),
);  
$url = "https://maps.googleapis.com/maps/api/geocode/json?latlng="
      . $latitude
      . ","
      . $longitude
      . "&sensor=false&key="
      . Yii::$app->params['GOOGLE_API_KEY'];

$data = file_get_contents($url, false, stream_context_create($arrContextOptions));

echo $data;
?>

Jeśli twoja wersja PHP to 5, spróbuj zainstalować cURL, wpisując następujące polecenie w terminalu:

sudo apt-get install php5-curl

Zasadniczo musisz ustawić zmienną środowiskową SSL_CERT_FILE na ścieżkę pliku PEM certyfikatu ssl pobranego z następującego łącza: http://curl.haxx.se/ca/cacert.pem .

Rozpracowanie tego zajęło mi dużo czasu.

poniższe kroki naprawią ten problem,

1. Pobierz certyfikat CA z tego linku: https://curl.haxx.se/ca/cacert.pem
2. Znajdź i otwórz php.ini
3. Wyszukaj curl.cainfoi wklej bezwzględną ścieżkę do miejsca, w którym pobrano certyfikat.curl.cainfo ="C:\wamp\htdocs\cert\cacert.pem"
4. Uruchom ponownie WAMP / XAMPP (serwer apache).
5. To działa!

mam nadzieję, że to pomaga !!

Chciałem tylko to dodać, ponieważ napotkałem ten sam problem i nic, co nigdzie nie mogę znaleźć, nie zadziałałoby (np. Pobranie pliku cacert.pem, ustawienie cafile w php.ini itp.)

Jeśli używasz NGINX, a Twój certyfikat SSL jest dostarczany z „certyfikatem pośrednim”, musisz połączyć pośredni plik certyfikatu z głównym plikiem „mydomain.com.crt” i powinien on działać. Apache ma ustawienie specyficzne dla pośrednich certyfikatów, ale NGINX tego nie robi, więc musi znajdować się w tym samym pliku, co zwykły certyfikat.

Przyczyną tego błędu jest to, że PHP nie ma listy zaufanych urzędów certyfikacji.

PHP 5.6 i nowsze wersje próbują automatycznie ładować CA zaufane przez system. Problemy z tym można naprawić. Więcej informacji można znaleźć na stronie http://php.net/manual/en/migration56.openssl.php .

PHP 5.5 i wcześniejsze są naprawdę trudne do skonfigurowania poprawnie, ponieważ musisz ręcznie określić pakiet CA w każdym kontekście żądania, czego nie chcesz rozpraszać wokół swojego kodu. Dlatego zdecydowałem się na mój kod, że dla wersji PHP <5.6 weryfikacja SSL po prostu wyłącza się:

$req = new HTTP_Request2($url);
if (version_compare(PHP_VERSION, '5.6.0', '<')) {
    //correct ssl validation on php 5.5 is a pain, so disable
    $req->setConfig('ssl_verify_host', false);
    $req->setConfig('ssl_verify_peer', false);
}

Miał ten sam błąd z PHP 7 na XAMPP i OSX.

Powyższa odpowiedź w https://stackoverflow.com/ jest dobra, ale nie rozwiązała całkowicie problemu dla mnie. Musiałem podać pełny łańcuch certyfikatów, aby file_get_contents () znów działał. Tak to zrobiłem:

Uzyskaj certyfikat główny / pośredni

Przede wszystkim musiałem dowiedzieć się, co to jest root i certyfikat pośredni.

Najwygodniejszym sposobem może być internetowe narzędzie certyfikujące, takie jak SSL-Shopper

Tam znalazłem trzy certyfikaty, jeden certyfikat serwera i dwa certyfikaty łańcuchowe (jeden jest rootem, drugi najwyraźniej pośrednikiem).

Wszystko, co muszę zrobić, to po prostu wyszukać w Internecie oba z nich. W moim przypadku jest to katalog główny:

thawte DV SSL SHA256 CA

I to prowadzi do jego url thawte.com . Więc po prostu umieściłem ten certyfikat w pliku tekstowym i zrobiłem to samo dla pośredniego. Gotowe.

Uzyskaj certyfikat hosta

Następną rzeczą, którą musiałem zrobić, jest pobranie certyfikatu serwera. W systemie Linux lub OS X można to zrobić za pomocą openssl:

openssl s_client -showcerts -connect whatsyoururl.de:443 </dev/null 2>/dev/null|openssl x509 -outform PEM > /tmp/whatsyoururl.de.cert

Teraz połącz je wszystkie

Teraz po prostu połącz je wszystkie w jeden plik. (Może warto po prostu umieścić je w jednym folderze, po prostu połączyłem je w jeden plik). Możesz to zrobić w następujący sposób:

cat /tmp/thawteRoot.crt > /tmp/chain.crt
cat /tmp/thawteIntermediate.crt >> /tmp/chain.crt
cat /tmp/tmp/whatsyoururl.de.cert >> /tmp/chain.crt

powiedz PHP gdzie znaleźć łańcuch

Jest ta przydatna funkcja openssl_get_cert_locations (), która powie ci, gdzie PHP szuka plików cert. I jest ten parametr, który powie file_get_contents (), gdzie szukać plików cert. Może oba sposoby będą działać. Wolałem sposób parametru. (W porównaniu do rozwiązania wspomnianego powyżej).

To jest teraz mój kod PHP

$arrContextOptions=array(
    "ssl"=>array(
        "cafile" => "/Applications/XAMPP/xamppfiles/share/openssl/certs/chain.pem",
        "verify_peer"=> true,
        "verify_peer_name"=> true,
    ),
);

$response = file_get_contents($myHttpsURL, 0, stream_context_create($arrContextOptions));

To wszystko. file_get_contents () znów działa. Bez CURL i, mam nadzieję, bez wad bezpieczeństwa.

Po padnięciu ofiarą tego problemu na centOS po aktualizacji php do php5.6 znalazłem rozwiązanie, które działało dla mnie.

Znajdź w tym katalogu odpowiedni katalog dla swoich certyfikatów

php -r 'print_r(openssl_get_cert_locations()["default_cert_file"]);'

Następnie użyj tego, aby uzyskać certyfikat i umieścić go w domyślnej lokalizacji znalezionej na podstawie powyższego kodu

wget http://curl.haxx.se/ca/cacert.pem -O <default location>

Miałem ten sam problem ssl na moim komputerze programisty (php 7, xampp w systemie Windows) z samopodpisanym certyfikatem próbującym otworzyć plik „ https: // localhost / ...”. Oczywiście zestaw certyfikatu głównego (cacert.pem) nie działał. Właśnie skopiowałem ręcznie kod z pliku Apache server.crt-file w pobranym pliku cacert.pem i zrobiłem wpis openssl.cafile = ścieżka / do / cacert.pem w php.ini

Inną rzeczą do wypróbowania jest ponowna instalacja, ca-certificatesjak opisano tutaj .

# yum reinstall ca-certificates
...
# update-ca-trust force-enable 
# update-ca-trust extract

Kolejną rzeczą, którą należy wypróbować, jest wyraźne zezwolenie na certyfikat dla jednej witryny, jak opisano tutaj (szczególnie, jeśli ta witryna jest własnym serwerem i masz już dostęp do pliku .pem).

# cp /your/site.pem /etc/pki/ca-trust/source/anchors/
# update-ca-trust extract

Natrafiłem na ten właśnie błąd SO po aktualizacji do PHP 5.6 na CentOS 6, próbując uzyskać dostęp do samego serwera, który ma tani certyfikat bezpieczeństwa, który być może musiał zostać zaktualizowany, ale zamiast tego zainstalowałem certyfikat letsencrypt i po dwóch powyższych krokach zrobiłem to sztuczka. Nie wiem, dlaczego drugi krok był konieczny.

Przydatne polecenia

Wyświetl wersję openssl:

# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

Wyświetl bieżące ustawienia PHP cli ssl:

# php -i | grep ssl
openssl
Openssl default config => /etc/pki/tls/openssl.cnf
openssl.cafile => no value => no value
openssl.capath => no value => no value

Odnośnie błędów podobnych do

[11-maj-2017 19:19:13 Ameryka / Chicago] Ostrzeżenie PHP: file_get_contents (): Operacja SSL nie powiodła się z kodem 1. OpenSSL Komunikaty o błędach: błąd: 14090086: Procedury SSL: ssl3_get_server_certificate: weryfikacja certyfikatu nie powiodła się

Czy sprawdziłeś uprawnienia do certyfikatów i katalogów, do których odwołuje się openssl?

Możesz to zrobić

var_dump(openssl_get_cert_locations());

Aby uzyskać coś podobnego do tego

array(8) {
  ["default_cert_file"]=>
  string(21) "/usr/lib/ssl/cert.pem"
  ["default_cert_file_env"]=>
  string(13) "SSL_CERT_FILE"
  ["default_cert_dir"]=>
  string(18) "/usr/lib/ssl/certs"
  ["default_cert_dir_env"]=>
  string(12) "SSL_CERT_DIR"
  ["default_private_dir"]=>
  string(20) "/usr/lib/ssl/private"
  ["default_default_cert_area"]=>
  string(12) "/usr/lib/ssl"
  ["ini_cafile"]=>
  string(0) ""
  ["ini_capath"]=>
  string(0) ""
}

Ten problem mnie frustrował przez pewien czas, dopóki nie zdałem sobie sprawy, że mój folder „certs” ma 700 uprawnień, a powinien mieć 755 uprawnień. Pamiętaj, że to nie jest folder kluczy, ale certyfikatów. Polecam przeczytanie tego linku na temat uprawnień ssl.

Kiedyś to zrobiłem

chmod 755 certs

Problem został naprawiony, przynajmniej dla mnie.

Miałem ten sam problem z kolejną bezpieczną stroną podczas używania wgetlub file_get_contents. Wiele badań (w tym niektóre odpowiedzi na to pytanie) zaowocowało prostym rozwiązaniem - instalacją Curl i PHP-Curl - Jeśli dobrze zrozumiałem, Curl ma główny urząd certyfikacji dla Comodo, który rozwiązał problem

Zainstaluj dodatek Curl i PHP-Curl, a następnie uruchom ponownie Apache

sudo apt-get install curl
sudo apt-get install php-curl
sudo /etc/init.d/apache2 reload

Wszystko teraz działa.