我正在使用XAMPP进行开发。最近，我将xampp的安装从旧版本升级到1.7.3。

现在，当我卷曲启用HTTPS的网站时，出现以下异常

致命错误：消息为“ cURL资源”的未捕获异常“ Re​​questCore_Exception”；资源ID为55；cURL错误：SSL证书问题，请验证CA证书是否正确。详细信息：错误：14090086：SSL例程：SSL3_GET_SERVER_CERTIFICATE：证书验证失败（60）'

每个人都建议使用PHP代码中的某些特定curl选项来解决此问题。我认为这不应该是这样。因为我的旧版本XAMPP没有任何问题，并且仅在安装新版本之后才发生。

我需要帮助确定我的PHP安装中有哪些设置更改，Apache等可以解决此问题。

curl曾经包含可接受的CA列表，但不再捆绑任何CA证书。因此，默认情况下，它将拒绝所有SSL证书为不可验证的证书。

您必须获得CA的证书，然后将证书指向该证书。有关更多详细信息，请参见cURLS的“服务器SSL证书的详细信息”。

在Windows中，这是一个非常普遍的问题。您只需要设置cacert.pem为即可curl.cainfo。

从PHP 5.3.7开始，您可以执行以下操作：

1. 下载https://curl.haxx.se/ca/cacert.pem并将其保存在某处。
2. 更新php.ini-添加curl.cainfo =“ PATH_TO / cacert.pem”

否则，您将需要对每个cURL资源执行以下操作：

curl_setopt ($ch, CURLOPT_CAINFO, "PATH_TO/cacert.pem");

警告：这可能会引入SSL旨在防止的安全问题，从而使整个代码库不安全。它违反了所有建议的做法。

但是对我有用的一个非常简单的解决方法是致电：

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

致电之前：

curl_exec():

在php文件中。

我相信这会禁用所有SSL证书验证。

资料来源：http : //ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

卷曲：SSL证书问题，请验证CA证书是否正常

2006年4月7日

使用Curl打开安全网址时，可能会出现以下错误：

SSL证书问题，请验证CA证书是否正常

我将解释错误的原因以及您应采取的措施。

消除错误的最简单方法是在脚本中添加以下两行。该解决方案带来了安全风险。

//WARNING: this would prevent curl from detecting a 'man in the middle' attack
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0); 

让我们看看这两个参数的作用。引用手册。

CURLOPT_SSL_VERIFYHOST：1，用于检查SSL对等证书中是否存在公用名。2检查公用名是否存在，并验证其是否与提供的主机名匹配。

CURLOPT_SSL_VERIFYPEER：FALSE阻止CURL验证对等方的证书。可以使用CURLOPT_CAINFO选项指定要验证的备用证书，或者可以使用CURLOPT_CAPATH选项指定证书目录。如果禁用了CURLOPT_SSL_VERIFYPEER（默认值为2），则CURLOPT_SSL_VERIFYHOST也可能需要为TRUE或FALSE。将CURLOPT_SSL_VERIFYHOST设置为2（这是默认值）将确保向您提供的证书具有与您用于访问远程资源的URN匹配的“公用名”。这是健康检查，但不能保证您的程序未被欺骗。

输入“中间人”

您的程序可能会误导您与另一台服务器通信。这可以通过多种机制来实现，例如dns或arp中毒（这是另一天的故事）。入侵者还可以使用您的程序期望的“通用名称”自签名证书。通信仍将被加密，但是您会将您的秘密透露给冒名顶替者。这种攻击称为“中间人”

击败“中间人”

好吧，我们需要验证提交给我们的证书是否真实。为此，我们将其与我们合理*信任的证书进行比较。

如果远程资源受到主要CA之一（如Verisign，GeoTrust等）颁发的证书的保护，则可以与可从http://curl.haxx.se/docs/caextract获得的Mozilla的CA证书包进行比较。 .html

将文件保存cacert.pem在服务器中的某个位置，然后在脚本中设置以下选项。

curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, TRUE); 
curl_setopt ($ch, CURLOPT_CAINFO, "pathto/cacert.pem");

以上所有内容的信息信用转至：http : //ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

上面的解决方案很棒，但是如果您使用的是WampServer，则可能会发现curl.cainfo在php.ini中设置变量无效。

我最终发现WampServer有两个php.ini文件：

C:\wamp\bin\apache\Apachex.x.x\bin
C:\wamp\bin\php\phpx.x.xx

显然，第一个用于通过Web浏览器调用PHP文件，而第二个用于通过命令行或调用命令时shell_exec()。

TL; DR

如果使用WampServer，则必须将curl.cainfo行添加到两个 php.ini文件中。

为了爱所有神圣的事物...

就我而言，我必须将openssl.cafilePHP config变量设置为PEM文件路径。

我相信，确实有很多系统curl.cainfo需要在PHP的配置中进行设置，但是在我使用的环境中，这是eboraas / laravel docker容器，它使用Debian 8（jessie）和PHP 5.6，设置该变量没有成功。

我注意到，的输出php -i未提及有关该特定配置设置的任何内容，但其中确实包含几行openssl。同时有openssl.capath和openssl.cafile选项，但是只需设置第二个选项，就可以通过PHP允许curl最终与HTTPS URL兼容。

有时，如果您尝试联系的应用程序具有自签名证书，则http://curl.haxx.se/ca/cacert.pem中的常规cacert.pem 无法解决问题。

如果您确定服务端点URL，请通过浏览器将其击中，并以“ X 509带链证书（PEM）”格式手动保存证书。将此证书文件指向

curl_setopt ($ch, CURLOPT_CAINFO, "pathto/{downloaded certificate chain file}");   

我在亚马逊AMI linux上有同样的错误。

我通过在/etc/php.d/curl.ini上设置curl.cainfo来解决

https://gist.github.com/reinaldomendes/97fb2ce8a606ec813c4b

增加2018年10月

在Amazon Linux v1上，编辑此文件

vi /etc/php.d/20-curl.ini

添加此行

curl.cainfo="/etc/ssl/certs/ca-bundle.crt"

为CURLOPT_CAINFO设置curl选项时，请记住使用单引号，使用双引号只会导致另一个错误。因此，您的选择应如下所示：

curl_setopt ($ch, CURLOPT_CAINFO, 'c:\wamp\www\mywebfolder\cacert.pem');

另外，在您的php.ini文件中，设置应写为：​​（请注意我的双引号）

curl.cainfo = "C:\wamp\www\mywebfolder"

我将其直接放在显示以下内容的行下面： extension=php_curl.dll

（仅出于组织目的，您可以将其放置在自己的任何位置php.ini，我只是将其放置在另一个curl引用附近，因此当我使用关键字curl进行搜索时，可以在一个区域中找到两个curl引用。）

当试图使GuzzleHttp（在Mac上为php + apache）从www.googleapis.com获取页面时，我到了这里。

这是我的最终解决方案，以防万一。

查看证书链中任何域给您的错误。对我来说是googleapis.com

openssl s_client -host www.googleapis.com -port 443

您将获得类似以下内容的信息：

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.googleapis.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

注意：解决问题后，我捕获了此问题，因为您的链输出看起来可能有所不同。

然后，您需要查看php中允许的证书。在页面中运行phpinfo（）。

<?php echo phpinfo();

然后查找从页面输出加载的证书文件：

openssl.cafile  /usr/local/php5/ssl/certs/cacert.pem

这是您需要通过向其添加正确的证书来修复的文件。

sudo nano /usr/local/php5/ssl/certs/cacert.pem

基本上，您需要在此文件的末尾附加正确的证书“签名”。

您可以在这里找到其中的一些：如果需要，您可能需要Google /搜索链中的其他人。

• https://pki.google.com/
• https://www.geotrust.com/resources/root-certificates/index.html

他们看起来像这样：

（注意：这是一张图片，因此人们不会简单地从stackoverflow复制/粘贴证书）

一旦正确的证书位于此文件中，请重新启动apache并进行测试。

您可以尝试重新安装ca-certificates软件包，或按此处所述明确允许有问题的证书。

解决方法很简单！将此行放在curl_exec：

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

对我来说，它有效。