我一直试图从我在服务器上创建的PHP页面访问这个特定的REST服务。我把问题缩小到这两行。我的PHP页面是这样的:
<?php
$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json");
echo $response; ?>
页面在第2行结束,出现以下错误:
Warning: file_get_contents(): SSL operation failed with code 1.
OpenSSL Error messages: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in
...php on line 2
Warning: file_get_contents(): Failed to enable crypto in ...php on
line 2
Warning:
file_get_contents(https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json):
failed to open stream: operation failed in ...php on line 2
我们使用的是Gentoo服务器。我们最近升级到了PHP 5.6版本。这个问题是在升级之后出现的。
当我用https://www.google.com这样的地址替换REST服务时,我发现;我的页面工作得很好。
在前面的尝试中,我设置“verify_peer”=>false,并将其作为参数传递给file_get_contents,如这里所述:file_get_contents忽略verify_peer=>false?但正如作者所指出的;这没什么区别。
我问过我们的一个服务器管理员,php.ini文件中是否存在这些行:
扩展= php_openssl.dll
allow_url_fopen = On
他告诉我,因为我们在Gentoo上,所以openssl是在我们构建的时候编译的;在php。ini文件中没有设置。
我还确认allow_url_fopen正在工作。由于这个问题的专门性;我找不到很多有用的信息。你们有人遇到过这样的东西吗?谢谢。
对于类似于以下错误
[11-5-2017 19:19:13美国/芝加哥]PHP警告:file_get_contents(): SSL操作失败与代码1。OpenSSL错误消息:
SSL例程:ssl3_get_server_certificate:证书验证失败
您是否检查了openssl引用的证书和目录的权限?
你可以这样做
var_dump(openssl_get_cert_locations());
得到类似的结果
array(8) {
["default_cert_file"]=>
string(21) "/usr/lib/ssl/cert.pem"
["default_cert_file_env"]=>
string(13) "SSL_CERT_FILE"
["default_cert_dir"]=>
string(18) "/usr/lib/ssl/certs"
["default_cert_dir_env"]=>
string(12) "SSL_CERT_DIR"
["default_private_dir"]=>
string(20) "/usr/lib/ssl/private"
["default_default_cert_area"]=>
string(12) "/usr/lib/ssl"
["ini_cafile"]=>
string(0) ""
["ini_capath"]=>
string(0) ""
}
这个问题让我沮丧了一段时间,直到我意识到我的“certs”文件夹有700个权限,而它应该有755个权限。请记住,这不是密钥文件夹,而是证书文件夹。我建议阅读这个关于ssl权限的链接。
我曾经做过
chmod 755 certs
问题解决了,至少对我来说是这样。
另一件要尝试的事情是重新安装ca-certificate,详见此处。
# yum reinstall ca-certificates
...
# update-ca-trust force-enable
# update-ca-trust extract
另一件要尝试的事情是显式地允许此处所述的一个站点的证书(特别是如果该站点是您自己的服务器,并且您已经可以访问.pem)。
# cp /your/site.pem /etc/pki/ca-trust/source/anchors/
# update-ca-trust extract
我在CentOS 6上升级到PHP 5.6后遇到了这个确切的SO错误,试图访问服务器本身,它有一个cheapsslsecurity证书,可能需要更新,但我安装了一个letsencrypt证书,上面的这两个步骤做到了这一点。我不知道为什么第二步是必要的。
有用的命令
查看openssl版本:
# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
查看PHP cli ssl当前设置:
# php -i | grep ssl
openssl
Openssl default config => /etc/pki/tls/openssl.cnf
openssl.cafile => no value => no value
openssl.capath => no value => no value
首先,您需要在PHP中启用curl扩展。然后你可以使用这个函数:
function file_get_contents_ssl($url) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_HEADER, false);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_REFERER, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 3000); // 3 sec.
curl_setopt($ch, CURLOPT_TIMEOUT, 10000); // 10 sec.
$result = curl_exec($ch);
curl_close($ch);
return $result;
}
它的工作原理类似于函数file_get_contents(..)。
例子:
echo file_get_contents_ssl("https://www.example.com/");
输出:
<!doctype html>
<html>
<head>
<title>Example Domain</title>
...
