Ich benutze XAMPP für die Entwicklung. Kürzlich habe ich meine Installation von xampp von einer alten Version auf 1.7.3 aktualisiert.

Wenn ich jetzt HTTPS-fähige Sites locke, erhalte ich die folgende Ausnahme

Schwerwiegender Fehler: Nicht erfasste Ausnahme 'RequestCore_Exception' mit der Meldung 'cURL resource: Resource id # 55; cURL-Fehler: Problem mit dem SSL-Zertifikat. Überprüfen Sie, ob das CA-Zertifikat in Ordnung ist. Details: Fehler: 14090086: SSL-Routinen: SSL3_GET_SERVER_CERTIFICATE: Zertifikatüberprüfung fehlgeschlagen (60) '

Jeder schlägt vor, bestimmte Curl-Optionen aus PHP-Code zu verwenden, um dieses Problem zu beheben. Ich denke, das sollte nicht der Weg sein. Weil ich mit meiner alten Version von XAMPP kein Problem hatte und dies erst nach der Installation der neuen Version geschah.

Ich benötige Hilfe, um herauszufinden, welche Einstellungen sich in meiner PHP-Installation ändern. Apache usw. kann dieses Problem beheben.

Curl enthielt früher eine Liste akzeptierter Zertifizierungsstellen, bündelte jedoch keine Zertifizierungsstellenzertifikate mehr. Standardmäßig werden alle SSL-Zertifikate als nicht überprüfbar abgelehnt.

Sie müssen das Zertifikat Ihrer Zertifizierungsstelle erhalten und darauf kräuseln. Weitere Informationen finden Sie unter cURLS- Details zu Server-SSL-Zertifikaten .

Es ist ein ziemlich häufiges Problem in Windows. Sie müssen nur Satz cacert.pemzu curl.cainfo.

Seit PHP 5.3.7 können Sie:

1. herunterladen https://curl.haxx.se/ca/cacert.pem und speichern Sie es irgendwo.
2. aktualisieren php.ini - add curl.cainfo = "PATH_TO / cacert.pem"

Andernfalls müssen Sie für jede cURL-Ressource Folgendes ausführen:

curl_setopt ($ch, CURLOPT_CAINFO, "PATH_TO/cacert.pem");

Warnung: Dies kann zu Sicherheitsproblemen führen, vor denen SSL schützen soll, wodurch Ihre gesamte Codebasis unsicher wird. Es widerspricht jeder empfohlenen Praxis.

Aber eine wirklich einfache Lösung, die für mich funktioniert hat, war anzurufen:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

vor dem Anruf:

curl_exec():

in der PHP-Datei.

Ich glaube, dass dies die Überprüfung von SSL-Zertifikaten deaktiviert.

Quelle: http://ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Curl: Problem mit dem SSL-Zertifikat. Überprüfen Sie, ob das CA-Zertifikat in Ordnung ist

07. April 2006

Beim Öffnen einer sicheren URL mit Curl wird möglicherweise der folgende Fehler angezeigt:

Überprüfen Sie beim Problem mit dem SSL-Zertifikat, ob das CA-Zertifikat in Ordnung ist

Ich werde erklären, warum der Fehler und was Sie dagegen tun sollten.

Der einfachste Weg, den Fehler zu beseitigen, besteht darin, Ihrem Skript die folgenden zwei Zeilen hinzuzufügen. Diese Lösung birgt jedoch ein Sicherheitsrisiko.

//WARNING: this would prevent curl from detecting a 'man in the middle' attack
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0); 

Mal sehen, was diese beiden Parameter bewirken. Das Handbuch zitieren.

CURLOPT_SSL_VERIFYHOST : 1, um das Vorhandensein eines gemeinsamen Namens im SSL-Peer-Zertifikat zu überprüfen. 2, um das Vorhandensein eines allgemeinen Namens zu überprüfen und um sicherzustellen, dass er mit dem angegebenen Hostnamen übereinstimmt.

CURLOPT_SSL_VERIFYPEER : FALSE, um zu verhindern, dass CURL das Zertifikat des Peers überprüft. Alternative Zertifikate, gegen die geprüft werden soll, können mit der Option CURLOPT_CAINFO angegeben werden, oder ein Zertifikatverzeichnis kann mit der Option CURLOPT_CAPATH angegeben werden. CURLOPT_SSL_VERIFYHOST muss möglicherweise auch TRUE oder FALSE sein, wenn CURLOPT_SSL_VERIFYPEER deaktiviert ist (standardmäßig 2). Wenn Sie CURLOPT_SSL_VERIFYHOST auf 2 setzen (dies ist der Standardwert), wird sichergestellt, dass das Ihnen vorgelegte Zertifikat einen allgemeinen Namen hat, der mit der URN übereinstimmt, die Sie für den Zugriff auf die Remote-Ressource verwenden. Dies ist eine gesunde Prüfung, die jedoch nicht garantiert, dass Ihr Programm nicht enttäuscht wird.

Geben Sie den "Mann in der Mitte"

Ihr Programm könnte irregeführt werden, stattdessen mit einem anderen Server zu sprechen. Dies kann durch verschiedene Mechanismen erreicht werden, wie z. B. DNS oder Arp-Vergiftung (Dies ist eine Geschichte für einen anderen Tag). Der Eindringling kann auch ein Zertifikat mit demselben "Comon-Namen" selbst signieren, den Ihr Programm erwartet. Die Kommunikation wäre immer noch verschlüsselt, aber Sie würden Ihre Geheimnisse an einen Betrüger weitergeben. Diese Art von Angriff wird "Mann in der Mitte" genannt.

Den "Mann in der Mitte" besiegen

Nun, wir müssen überprüfen, ob das uns vorgelegte Zertifikat wirklich gut ist. Wir tun dies, indem wir es mit einem Zertifikat vergleichen, dem wir vernünftigerweise vertrauen.

Wenn die Remote-Ressource durch ein Zertifikat geschützt ist, das von einer der Hauptzertifizierungsstellen wie Verisign, GeoTrust et al. Ausgestellt wurde, können Sie sicher mit Mozillas Zertifizierungsstellenpaket vergleichen, das Sie unter http://curl.haxx.se/docs/caextract erhalten .html

Speichern Sie die Datei cacert.pemirgendwo auf Ihrem Server und legen Sie die folgenden Optionen in Ihrem Skript fest.

curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, TRUE); 
curl_setopt ($ch, CURLOPT_CAINFO, "pathto/cacert.pem");

Informationen zu allen oben genannten Informationen finden Sie unter: http://ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Die oben genannten Lösungen sind großartig, aber wenn Sie WampServer verwenden, funktioniert das Einstellen der curl.cainfoVariablen möglicherweise php.ininicht.

Ich fand schließlich heraus, dass WampServer zwei php.iniDateien hat:

C:\wamp\bin\apache\Apachex.x.x\bin
C:\wamp\bin\php\phpx.x.xx

Die erste wird anscheinend verwendet, wenn PHP-Dateien über einen Webbrowser aufgerufen werden, während die zweite verwendet wird, wenn ein Befehl über die Befehlszeile oder aufgerufen wird shell_exec().

TL; DR

Wenn Sie WampServer verwenden, müssen Sie die curl.cainfoZeile zu beiden php.ini Dateien hinzufügen .

Für die Liebe von allem, was heilig ist ...

In meinem Fall musste ich die openssl.cafilePHP-Konfigurationsvariable auf den PEM-Dateipfad setzen.

Ich vertraue darauf, dass es sehr viele Systeme gibt, in denen die Einstellung curl.cainfoin der PHP-Konfiguration genau das ist, was benötigt wird, aber in der Umgebung, mit der ich arbeite, ist dies der Docker-Container eboraas / laravel , der Debian 8 (jessie) und PHP verwendet 5.6, das Setzen dieser Variablen hat den Trick nicht getan.

Ich bemerkte, dass die Ausgabe von php -inichts über diese bestimmte Konfigurationseinstellung erwähnte, aber es gab ein paar Zeilen darüber openssl. Es gibt sowohl eine openssl.capathals auch eine openssl.cafileOption, aber nur das Einstellen der zweiten Option ermöglichte das Einrollen über PHP, damit HTTPS-URLs endlich in Ordnung sind.

Manchmal, wenn die Anwendung, mit der Sie Kontakt aufnehmen möchten, selbstsignierte Zertifikate hat, löst das normale cacert.pem von http://curl.haxx.se/ca/cacert.pem das Problem nicht.

Wenn Sie sich über die Service-Endpunkt-URL sicher sind, rufen Sie sie über den Browser auf und speichern Sie das Zertifikat manuell im Format "X 509-Zertifikat mit Kette (PEM)". Zeigen Sie auf diese Zertifikatdatei mit dem

curl_setopt ($ch, CURLOPT_CAINFO, "pathto/{downloaded certificate chain file}");   

Ich habe den gleichen Fehler unter Amazon AMI Linux.

Ich habe gelöst, indem ich curl.cainfo auf /etc/php.d/curl.ini gesetzt habe

https://gist.github.com/reinaldomendes/97fb2ce8a606ec813c4b

Ergänzung Oktober 2018

Bearbeiten Sie diese Datei unter Amazon Linux v1

vi /etc/php.d/20-curl.ini

Diese Zeile hinzufügen

curl.cainfo="/etc/ssl/certs/ca-bundle.crt"

Denken Sie beim Festlegen der Curl-Optionen für CURLOPT_CAINFO daran, einfache Anführungszeichen zu verwenden. Die Verwendung von doppelten Anführungszeichen führt nur zu einem weiteren Fehler. Ihre Option sollte also folgendermaßen aussehen:

curl_setopt ($ch, CURLOPT_CAINFO, 'c:\wamp\www\mywebfolder\cacert.pem');

Außerdem sollte in Ihrer php.ini-Datei die Einstellung wie folgt geschrieben sein: (Beachten Sie meine doppelten Anführungszeichen)

curl.cainfo = "C:\wamp\www\mywebfolder"

Ich setze es direkt unter die Zeile, die dies sagt: extension=php_curl.dll

(Nur zu Organisationszwecken können Sie es an einer beliebigen Stelle in Ihrem php.iniBereich platzieren. Ich platziere es einfach in der Nähe einer anderen Curl-Referenz. Wenn ich also mit dem Schlüsselwort curl suche, kann ich beide Curl-Referenzen in einem Bereich finden.)

Ich bin hier gelandet, als ich versucht habe, GuzzleHttp (PHP + Apache auf Mac) dazu zu bringen, eine Seite von www.googleapis.com zu erhalten.

Hier war meine endgültige Lösung für den Fall, dass es jemandem hilft.

Überprüfen Sie die Zertifikatkette auf die Domain, bei der dieser Fehler auftritt. Für mich war es googleapis.com

openssl s_client -host www.googleapis.com -port 443

Sie erhalten so etwas zurück:

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.googleapis.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

Hinweis: Ich habe dies erfasst, nachdem ich das Problem behoben habe. Ihre Kettenausgabe sieht möglicherweise anders aus.

Dann müssen Sie sich die in PHP erlaubten Zertifikate ansehen. Führen Sie phpinfo () auf einer Seite aus.

<?php echo phpinfo();

Suchen Sie dann nach der Zertifikatdatei, die aus der Seitenausgabe geladen wurde:

openssl.cafile  /usr/local/php5/ssl/certs/cacert.pem

Dies ist die Datei, die Sie reparieren müssen, indem Sie die richtigen Zertifikate hinzufügen.

sudo nano /usr/local/php5/ssl/certs/cacert.pem

Grundsätzlich müssen Sie die richtigen Zertifikatsignaturen an das Ende dieser Datei anhängen.

Einige davon finden Sie hier: Möglicherweise müssen Sie andere in der Kette googeln / suchen, wenn Sie sie benötigen.

• https://pki.google.com/
• https://www.geotrust.com/resources/root-certificates/index.html

Sie sehen so aus:

( Hinweis: Dies ist ein Bild, damit Benutzer nicht einfach Zertifikate aus dem Stapelüberlauf kopieren / einfügen. )

Sobald sich die richtigen Zertifikate in dieser Datei befinden, starten Sie Apache neu und testen Sie.

Sie können versuchen, das ca-certificatesPaket neu zu installieren , oder das betreffende Zertifikat explizit zulassen, wie hier beschrieben .

Die Lösung ist sehr einfach! Setzen Sie diese Zeile vor curl_exec:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

Bei mir funktioniert es.