我一直试图从我在服务器上创建的PHP页面访问这个特定的REST服务。我把问题缩小到这两行。我的PHP页面是这样的:
<?php
$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json");
echo $response; ?>
页面在第2行结束,出现以下错误:
Warning: file_get_contents(): SSL operation failed with code 1.
OpenSSL Error messages: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in
...php on line 2
Warning: file_get_contents(): Failed to enable crypto in ...php on
line 2
Warning:
file_get_contents(https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json):
failed to open stream: operation failed in ...php on line 2
我们使用的是Gentoo服务器。我们最近升级到了PHP 5.6版本。这个问题是在升级之后出现的。
当我用https://www.google.com这样的地址替换REST服务时,我发现;我的页面工作得很好。
在前面的尝试中,我设置“verify_peer”=>false,并将其作为参数传递给file_get_contents,如这里所述:file_get_contents忽略verify_peer=>false?但正如作者所指出的;这没什么区别。
我问过我们的一个服务器管理员,php.ini文件中是否存在这些行:
扩展= php_openssl.dll
allow_url_fopen = On
他告诉我,因为我们在Gentoo上,所以openssl是在我们构建的时候编译的;在php。ini文件中没有设置。
我还确认allow_url_fopen正在工作。由于这个问题的专门性;我找不到很多有用的信息。你们有人遇到过这样的东西吗?谢谢。
出现此错误的原因是PHP没有受信任的证书颁发机构列表。
PHP 5.6及以上版本尝试自动加载受系统信任的ca。问题是可以解决的。更多信息请参见http://php.net/manual/en/migration56.openssl.php。
PHP 5.5及更早的版本确实很难正确设置,因为您必须在每个请求上下文中手动指定CA包,这是您不希望在代码中出现的事情。
所以我决定在PHP版本< 5.6的代码中禁用SSL验证:
$req = new HTTP_Request2($url);
if (version_compare(PHP_VERSION, '5.6.0', '<')) {
//correct ssl validation on php 5.5 is a pain, so disable
$req->setConfig('ssl_verify_host', false);
$req->setConfig('ssl_verify_peer', false);
}
XAMPP和OSX上的PHP 7有同样的错误。
上面提到的https://stackoverflow.com/的答案很好,但它并没有完全解决我的问题。我必须提供完整的证书链才能使file_get_contents()再次工作。我就是这么做的:
获取根证书/中间证书
首先,我必须弄清楚根证书和中间证书。
最方便的方法可能是使用像ssl-shopper这样的在线cert工具
在那里我找到了三个证书,一个服务器证书和两个链证书(一个是根证书,另一个显然是中间证书)。
我所要做的就是在网上把它们都找出来。在我的例子中,这是根:
thawte DV SSL SHA256 CA
它指向他的网址thawte.com。所以我只是把这个证书放入一个文本文件,并为中间做了同样的事情。完成了。
获取主机证书
接下来我要做的是下载我的服务器证书。在Linux或OS X上,可以用openssl来完成:
openssl s_client -showcerts -connect whatsyoururl.de:443 </dev/null 2>/dev/null|openssl x509 -outform PEM > /tmp/whatsyoururl.de.cert
现在把他们聚在一起
现在把它们都合并到一个文件中。(也许把它们放在一个文件夹里比较好,我只是把它们合并到一个文件中)。你可以这样做:
cat /tmp/thawteRoot.crt > /tmp/chain.crt
cat /tmp/thawteIntermediate.crt >> /tmp/chain.crt
cat /tmp/tmp/whatsyoururl.de.cert >> /tmp/chain.crt
告诉PHP在哪里找到链
这里有一个方便的函数openssl_get_cert_locations(),它将告诉您PHP在哪里查找cert文件。还有这个参数,它将告诉file_get_contents()在哪里查找cert文件。也许两种方法都可行。我更喜欢参数方式。(与上述解决方案相比)。
这就是我的php代码
$arrContextOptions=array(
"ssl"=>array(
"cafile" => "/Applications/XAMPP/xamppfiles/share/openssl/certs/chain.pem",
"verify_peer"=> true,
"verify_peer_name"=> true,
),
);
$response = file_get_contents($myHttpsURL, 0, stream_context_create($arrContextOptions));
这是所有。File_get_contents()又开始工作了。没有CURL,希望没有安全缺陷。
另一件要尝试的事情是重新安装ca-certificate,详见此处。
# yum reinstall ca-certificates
...
# update-ca-trust force-enable
# update-ca-trust extract
另一件要尝试的事情是显式地允许此处所述的一个站点的证书(特别是如果该站点是您自己的服务器,并且您已经可以访问.pem)。
# cp /your/site.pem /etc/pki/ca-trust/source/anchors/
# update-ca-trust extract
我在CentOS 6上升级到PHP 5.6后遇到了这个确切的SO错误,试图访问服务器本身,它有一个cheapsslsecurity证书,可能需要更新,但我安装了一个letsencrypt证书,上面的这两个步骤做到了这一点。我不知道为什么第二步是必要的。
有用的命令
查看openssl版本:
# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
查看PHP cli ssl当前设置:
# php -i | grep ssl
openssl
Openssl default config => /etc/pki/tls/openssl.cnf
openssl.cafile => no value => no value
openssl.capath => no value => no value
