如何修復 Windows 上的 PHP Curl HTTPS 憑證授權單位問題

成功的 HTTPS 請求涉及 HTTP 用戶端驗證 伺服器根據已知且受信任的根列表提供的 TLS 證書 證書。 PHP Curl 擴充功能沒有什麼不同；捲曲 擴充功能使用 libcurl 發出 HTTPS 請求，而 libcurl 又使用 OpenSSL 等 TLS 函式庫來驗證請求。

Curl 擴充功能需要一個包含以下內容的有效檔案：所有的 受信任的根證書來完成HTTPS驗證，以及PHP 將其公開為 php.ini 檔案中的指令。

在 Linux、BSD 和 macOS 上，libcurl 可以預設為系統根目錄 證書，但這在 Windows 上是不可能的，因為 Windows 確實 不附帶包含所有系統根目錄的單一文件 證書。

本文討論了使用 Curl 擴充功能成功發出 HTTPS 請求的兩種可能方法，以及不採取哪些措施可能導致 HTTPS 請求不安全。

失敗原因

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
curl_exec($ch); // false  

curl_error($ch);
// SSL certificate problem: unable to get local issuer certificate

如果curl_exec呼叫失敗並回傳錯誤回應，並且如果curl_error指示SSL憑證問題：無法取得本地頒發者憑證錯誤，這表示Curl未提供包含根證書的文件，或無法發現它。

此錯誤在 Linux、BSD 和 macOS 系統上並不常見，但相當多 Windows上常見，因為沒有指定檔案取得root 證書，並且 PHP 不在其上提供根證書列表

解決方案是提供一個包含最新根目錄的文件 證書，或者理想情況下，讓 Curl 解析本地根存儲 底層作業系統提供。

使用本機憑證授權單位

在 Curl 7.71 及更高版本上，可以設定 Curl 請 Curl 使用本機（系統）根憑證的選項。 這甚至在 Windows 上也有效，其中 Curl 解析系統根證書 並使用它們。

當 CURLOPT_SSL_OPTIONS 選項設定為 CURLSSLOPT_NATIVE_CA 時 或包含這些位元的位元掩碼，Curl 嘗試使用本機 根證書存儲，取決於證書的功能和版本 底層 TLS 庫。

如果 Curl 擴充功能是使用 Curl 7.71 或更高版本以及 PHP 8.2 及更高版本建構的，這是建議的修復。

 $ch = curl_init('https://php.watch');
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
    curl_exec($ch);

請注意，上面的程式碼片段不會檢查Curl 版本和 PHP 版本，並假設滿足 PHP 和 Curl 版本要求。這 以下是有條件地新增 Curl 選項的範例：

$ch = curl_init('https://php.watch');  
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
if (defined('CURLSSLOPT_NATIVE_CA')  
  && version_compare(curl_version()['version'], '7.71', '>=')) {  
    curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
}  
curl_exec($ch);

下載並維護 cacert.pem 檔案

對於在 8.2 之前的 PHP 版本上執行的應用程式（其中 CURLSSLOPT_NATIVE_CA 常數不可用），或當 Curl 版本低於 7.71 時， 推薦的替代解決方案是下載 Curl 相容的 根證書文件，並配置 PHP 或 Curl 請求來使用它。

Curl 項目維護著最新的證書清單。請參閱從 Mozilla 提取的 CA 憑證。

1. 下載 cacert.pem 檔案

2. 將檔案移至 PHP 和 Web 伺服器可存取的目錄。例如，C:/php/cacert.pem。

3. 編輯 php.ini 檔案並修改curl.cainfo 條目以指向 cacert.pem 檔案的絕對路徑。

4. $ch = curl_init('https://php.watch');  
   curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);  
   curl_exec($ch); // false  
   
   curl_error($ch);
   // SSL certificate problem: unable to get local issuer certificate

5. （選用）重新啟動 Web 伺服器（例如 Apache）以重新載入 INI 檔案。
   

這種方法的缺點是必須定期更新 cacert.pem 檔案。 cacert.pem 例如，Curl 專案提供的檔案是從根目錄中提取的 由 Mozilla 維護的商店。平均而言，此列表和文件得到 每年更新4-5次。確保與最新root的兼容性 證書列表，請確保更新此文件的本機副本 定期

如果無法修改INI 文件，請在Curl 請求中指定cacert.pem 文件的絕對路徑：

 $ch = curl_init('https://php.watch');
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   curl_setopt($ch, CURLOPT_SSL_OPTIONS, CURLSSLOPT_NATIVE_CA);
    curl_exec($ch);

在PHP 8.2 和Curl 7.77 上，可以使用CURLOPT_CAINFO_OB 選項來取得包含cacert.pem 內容的字串。

以上是如何修復 Windows 上的 PHP Curl HTTPS 憑證授權單位問題的詳細內容。更多資訊請關注PHP中文網其他相關文章！