Używam XAMPP do programowania. Niedawno zaktualizowałem moją instalację Xampp ze starej wersji do 1.7.3.

Teraz, gdy zwijam witryny z włączoną obsługą HTTPS, otrzymuję następujący wyjątek

Błąd krytyczny: nieprzechwycony wyjątek „RequestCore_Exception” z komunikatem „zasób cURL: identyfikator zasobu nr 55; błąd cURL: problem z certyfikatem SSL, sprawdź, czy certyfikat CA jest OK. Szczegóły: błąd: 14090086: Procedury SSL: SSL3_GET_SERVER_CERTIFICATE: weryfikacja certyfikatu nie powiodła się (60) ”

Wszyscy sugerują użycie pewnych specjalnych opcji curl z kodu PHP, aby rozwiązać ten problem. Myślę, że nie powinno tak być. Ponieważ nie miałem problemu ze starą wersją XAMPP i stało się to dopiero po zainstalowaniu nowej wersji.

Potrzebuję pomocy, aby dowiedzieć się, jakie ustawienia zmienią się w mojej instalacji PHP, Apache itp. Mogą rozwiązać ten problem.

curl zawierał listę akceptowanych urzędów certyfikacji, ale nie łączy już ŻADNYCH certyfikatów urzędów certyfikacji. Dlatego domyślnie odrzuca wszystkie certyfikaty SSL jako niemożliwe do zweryfikowania.

Musisz zdobyć certyfikat urzędu certyfikacji i zwinąć go. Więcej szczegółów w szczegółach cURLS dotyczących certyfikatów SSL serwera .

To dość powszechny problem w systemie Windows. Trzeba po prostu zestaw cacert.pemdo curl.cainfo.

Od wersji PHP 5.3.7 możesz:

1. pobierz https://curl.haxx.se/ca/cacert.pem i zapisz gdzieś.
2. aktualizacja php.ini- dodaj curl.cainfo = "PATH_TO / cacert.pem"

W przeciwnym razie musisz wykonać następujące czynności dla każdego zasobu cURL:

curl_setopt ($ch, CURLOPT_CAINFO, "PATH_TO/cacert.pem");

Ostrzeżenie: może to powodować problemy z bezpieczeństwem, przed którymi ma chronić SSL, powodując, że cała baza kodu jest niepewna. Jest to sprzeczne z każdą zalecaną praktyką.

Ale naprawdę prostym rozwiązaniem, które zadziałało, było zadzwonienie:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

przed dzwonieniem:

curl_exec():

w pliku php.

Uważam, że wyłącza to wszelką weryfikację certyfikatów SSL.

Źródło: http://ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Zwijanie się: problem z certyfikatem SSL, sprawdź, czy certyfikat CA jest OK

07 kwietnia 2006 r

Podczas otwierania bezpiecznego adresu URL za pomocą Curl może pojawić się następujący błąd:

Problem z certyfikatem SSL, sprawdź, czy certyfikat CA jest OK

Wyjaśnię, dlaczego błąd i co należy z tym zrobić.

Najłatwiejszym sposobem na pozbycie się błędu jest dodanie do skryptu następujących dwóch wierszy. To rozwiązanie stanowi zagrożenie dla bezpieczeństwa.

//WARNING: this would prevent curl from detecting a 'man in the middle' attack
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0); 

Zobaczmy, co robią te dwa parametry. Cytując instrukcję.

CURLOPT_SSL_VERIFYHOST : 1, aby sprawdzić istnienie wspólnej nazwy w certyfikacie równorzędnym SSL. 2, aby sprawdzić istnienie wspólnej nazwy, a także sprawdzić, czy jest ona zgodna z podaną nazwą hosta.

CURLOPT_SSL_VERIFYPEER : FALSE, aby powstrzymać CURL od weryfikacji certyfikatu peera. Alternatywne certyfikaty do weryfikacji można określić za pomocą opcji CURLOPT_CAINFO lub katalog certyfikatów można określić za pomocą opcji CURLOPT_CAPATH. CURLOPT_SSL_VERIFYHOST może także wymagać wartości PRAWDA lub FAŁSZ, jeśli CURLOPT_SSL_VERIFYPEER jest wyłączony (domyślnie 2). Ustawienie CURLOPT_SSL_VERIFYHOST na 2 (jest to wartość domyślna) zagwarantuje, że przedstawiony Ci certyfikat będzie miał „wspólną nazwę” pasującą do URN, którego używasz do uzyskania dostępu do zdalnego zasobu. Jest to zdrowy czek, ale nie gwarantuje, że twój program nie zostanie oszukany.

Wpisz „mężczyzna w środku”

Zamiast tego twój program może zostać wprowadzony w błąd i rozmawiać z innym serwerem. Można to osiągnąć za pomocą kilku mechanizmów, takich jak zatrucie dns lub arp (to historia na inny dzień). Intruz może również samopodpisać certyfikat z taką samą „wspólną nazwą”, jakiej oczekuje Twój program. Komunikacja nadal będzie szyfrowana, ale będziesz zdradzał swoje tajemnice oszustowi. Ten rodzaj ataku nazywa się „człowiekiem w środku”

Pokonanie „mężczyzny na środku”

Cóż, musimy sprawdzić, czy przedstawiony nam certyfikat jest prawdziwy. Robimy to, porównując go z certyfikatem, któremu możemy * zaufać.

Jeśli zdalny zasób jest chroniony certyfikatem wydanym przez jeden z głównych urzędów certyfikacji, takich jak Verisign, GeoTrust i in., Można bezpiecznie porównać z pakietem certyfikatów CA Mozilli, który można uzyskać ze strony http://curl.haxx.se/docs/caextract .html

Zapisz plik cacert.pemgdzieś na serwerze i ustaw następujące opcje w skrypcie.

curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, TRUE); 
curl_setopt ($ch, CURLOPT_CAINFO, "pathto/cacert.pem");

za wszystkie powyższe informacje Źródło: http://ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Powyższe rozwiązania są świetne, ale jeśli używasz WampServer, może się okazać, że ustawienie curl.cainfozmiennej php.ininie działa.

W końcu odkryłem, że WampServer ma dwa php.inipliki:

C:\wamp\bin\apache\Apachex.x.x\bin
C:\wamp\bin\php\phpx.x.xx

Pierwszy jest używany do wywoływania plików PHP przez przeglądarkę internetową, a drugi do wywoływania polecenia przez wiersz poleceń lub shell_exec().

TL; DR

Jeśli używasz WampServer, musisz dodać curl.cainfolinię do obu php.ini plików.

Z miłości do wszystkiego, co święte ...

W moim przypadku musiałem ustawić openssl.cafilezmienną konfiguracyjną PHP na ścieżkę pliku PEM.

Ufam, że to prawda, że ​​istnieje wiele systemów, w których ustawienie curl.cainfow konfiguracji PHP jest dokładnie tym, czego potrzeba, ale w środowisku, w którym pracuję, jest kontener dokujący eboraas / laravel , który używa Debiana 8 (jessie) i PHP 5.6, ustawienie tej zmiennej nie załatwiło sprawy.

Zauważyłem, że dane wyjściowe php -inie wspominały nic o tym konkretnym ustawieniu konfiguracji, ale zawierało kilka wierszy openssl. Istnieje zarówno opcja openssl.capathi openssl.cafile, ale tylko ustawienie drugiego dozwolonego zwijania za pośrednictwem PHP, aby w końcu było w porządku z adresami URL HTTPS.

Czasami jeśli aplikacja, z którą próbujesz się skontaktować, ma certyfikaty z podpisem własnym, normalny plik cacert.pem z http://curl.haxx.se/ca/cacert.pem nie rozwiązuje problemu.

Jeśli masz pewność co do adresu URL punktu końcowego usługi, naciśnij go w przeglądarce, zapisz ręcznie certyfikat w formacie „X 509 certyfikat z łańcuchem (PEM)”. Wskaż ten plik certyfikatu za pomocą

curl_setopt ($ch, CURLOPT_CAINFO, "pathto/{downloaded certificate chain file}");   

Mam ten sam błąd na amazonie AMI Linux.

Rozwiązałem, ustawiając curl.cainfo na /etc/php.d/curl.ini

https://gist.github.com/reinaldomendes/97fb2ce8a606ec813c4b

Dodatek październik 2018 r

Na Amazon Linux v1 edytuj ten plik

vi /etc/php.d/20-curl.ini

Aby dodać tę linię

curl.cainfo="/etc/ssl/certs/ca-bundle.crt"

Podczas ustawiania opcji zwijania dla CURLOPT_CAINFO pamiętaj, aby używać pojedynczych cudzysłowów, użycie podwójnych cudzysłowów spowoduje tylko kolejny błąd. Twoja opcja powinna wyglądać następująco:

curl_setopt ($ch, CURLOPT_CAINFO, 'c:\wamp\www\mywebfolder\cacert.pem');

Dodatkowo w ustawieniach pliku php.ini należy zapisać jako: (zauważ moje podwójne cudzysłowy)

curl.cainfo = "C:\wamp\www\mywebfolder"

Umieszczam go bezpośrednio poniżej linii, która mówi: extension=php_curl.dll

(Tylko w celu organizowania, możesz umieścić go w dowolnym miejscu w swoim miejscu php.ini, po prostu umieszczam go w pobliżu innego odwołania do curl, więc kiedy szukam za pomocą słowa kluczowego curl, nie mogę znaleźć obu odwołań do curl w jednym obszarze).

Skończyło się tutaj, gdy próbowałem zdobyć GuzzleHttp (php + apache na Macu), aby uzyskać stronę z www.googleapis.com.

Oto moje ostatnie rozwiązanie na wypadek, gdyby komukolwiek to pomogło.

Sprawdź łańcuch certyfikatów dla dowolnej domeny, w której występuje ten błąd. Dla mnie była to googleapis.com

openssl s_client -host www.googleapis.com -port 443

Otrzymasz coś takiego:

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.googleapis.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

Uwaga: Przechwyciłem to po rozwiązaniu problemu, ponieważ dane wyjściowe łańcucha mogą wyglądać inaczej.

Następnie musisz spojrzeć na certyfikaty dozwolone w php. Uruchom phpinfo () na stronie.

<?php echo phpinfo();

Następnie poszukaj pliku certyfikatu załadowanego z danych wyjściowych strony:

openssl.cafile  /usr/local/php5/ssl/certs/cacert.pem

Jest to plik, który musisz naprawić, dodając do niego poprawne certyfikaty.

sudo nano /usr/local/php5/ssl/certs/cacert.pem

Zasadniczo musisz dołączyć poprawne „podpisy” certyfikatu na końcu tego pliku.

Niektóre z nich można znaleźć tutaj: Może być konieczne wyszukanie w Google innych osób w łańcuchu, jeśli są one potrzebne.

• https://pki.google.com/
• https://www.geotrust.com/resources/root-certificates/index.html

Wyglądają tak:

( Uwaga: jest to obraz, więc ludzie nie będą po prostu kopiować / wklejać certyfikatów z stackoverflow )

Gdy odpowiednie certyfikaty znajdą się w tym pliku, uruchom ponownie apache i przetestuj.

Możesz spróbować ponownie zainstalować ca-certificatespakiet lub jawnie zezwolić na dany certyfikat, jak opisano tutaj .

Rozwiązanie jest bardzo proste! Umieść tę linię przed curl_exec:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

Dla mnie to działa.