file_get_contents(): SSL operation failed with code 1, failed to enable crypto

小开

最佳答案

这是一个非常有用的链接:

http://php.net/manual/en/migration56.openssl.php

描述PHP 5.6中open ssl所做更改的官方文档从这里我了解到我应该将另一个参数设置为false: "verify_peer_name"=>false

注意:这具有非常重大的安全隐患。禁用验证可能会允许MITM攻击者使用无效的证书来窃听请求。虽然在本地开发中这样做可能有用，但在生产中应该使用其他方法。

所以我的工作代码是这样的:

<?php
$arrContextOptions=array(
"ssl"=>array(
"verify_peer"=>false,
"verify_peer_name"=>false,
),
);


$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json", false, stream_context_create($arrContextOptions));


echo $response; ?>

小开

你不应该只是关闭验证。你应该下载一个证书包，也许旋度包就可以了?

然后你只需要把它放在你的web服务器上，给运行php的用户读取文件的权限。然后这段代码应该为您工作:

$arrContextOptions= [
'ssl' => [
'cafile' => '/path/to/bundle/cacert.pem',
'verify_peer'=> true,
'verify_peer_name'=> true,
],
];


$response = file_get_contents(
'https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json',
false,
stream_context_create($arrContextOptions)
);

希望您尝试访问的站点的根证书在curl包中。如果不是，在获得站点的根证书并将其放入证书文件之前，这仍然不能工作。

小开

基本上，您必须将环境变量SSL_CERT_FILE设置为从以下链接下载的ssl-certificate的PEM文件的路径:http://curl.haxx.se/ca/cacert.pem。

我花了很长时间才弄明白。

小开

如果您的PHP版本是5，请尝试在终端中输入以下命令来安装cURL:

sudo apt-get install php5-curl

小开

只是想补充这一点，因为我遇到了同样的问题，我在任何地方都找不到工作(例如下载cacert。Pem文件，在php.ini中设置cafile)

如果你使用NGINX，并且你的SSL证书附带一个“中间证书”，你需要将中间证书文件与你的主“mydomain.com.crt”文件结合起来，它应该可以工作。Apache有一个特定于中间证书的设置，但NGINX没有，所以它必须与常规证书在同一个文件中。

小开

出现此错误的原因是PHP没有受信任的证书颁发机构列表。

PHP 5.6及以上版本尝试自动加载受系统信任的ca。问题是可以解决的。更多信息请参见http://php.net/manual/en/migration56.openssl.php。

PHP 5.5和更早的版本真的很难正确设置，因为你必须在每个请求上下文中手动指定CA包，这是你不想在代码中散布的事情。所以我决定在我的代码中使用PHP版本<5.6, SSL验证被禁用:

$req = new HTTP_Request2($url);
if (version_compare(PHP_VERSION, '5.6.0', '<')) {
//correct ssl validation on php 5.5 is a pain, so disable
$req->setConfig('ssl_verify_host', false);
$req->setConfig('ssl_verify_peer', false);
}

小开

我通过确保在我的机器上安装了OpenSSL来解决这个问题，然后将这个添加到我的php.ini中:

openssl.cafile=/usr/local/etc/openssl/cert.pem

小开

你可以通过编写一个使用curl的定制函数来解决这个问题，如下所示:

function file_get_contents_curl( $url ) {


$ch = curl_init();


curl_setopt( $ch, CURLOPT_AUTOREFERER, TRUE );
curl_setopt( $ch, CURLOPT_HEADER, 0 );
curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1 );
curl_setopt( $ch, CURLOPT_URL, $url );
curl_setopt( $ch, CURLOPT_FOLLOWLOCATION, TRUE );


$data = curl_exec( $ch );
curl_close( $ch );


return $data;


}

然后只要使用file_get_contents_curl而不是file_get_contents当你调用一个以https开头的url。

小开

在我的开发机器上(php 7, xampp在windows上)有相同的ssl问题，自签名证书试图打开“https://localhost/…”-文件。显然根证书程序集(cacert.pem)不起作用。我只是从apache服务器手动复制了代码。crt-File下载的cacert。openssl.cafile=path/to/cacert. Pem，然后执行openssl.cafile=path/to/cacert. Pem。php.ini

. Pem

小开

对于类似于以下错误

[11/5/2017 19:19:13美国/芝加哥]PHP警告:file_get_contents(): SSL操作失败与代码1。OpenSSL错误消息: SSL routine:ssl3_get_server_certificate:certificate verify failed
. error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed

您是否检查了openssl引用的证书和目录的权限?

你可以这样做

var_dump(openssl_get_cert_locations());

得到类似的结果

array(8) {
["default_cert_file"]=>
string(21) "/usr/lib/ssl/cert.pem"
["default_cert_file_env"]=>
string(13) "SSL_CERT_FILE"
["default_cert_dir"]=>
string(18) "/usr/lib/ssl/certs"
["default_cert_dir_env"]=>
string(12) "SSL_CERT_DIR"
["default_private_dir"]=>
string(20) "/usr/lib/ssl/private"
["default_default_cert_area"]=>
string(12) "/usr/lib/ssl"
["ini_cafile"]=>
string(0) ""
["ini_capath"]=>
string(0) ""
}

这个问题让我沮丧了一段时间，直到我意识到我的“certs”文件夹有700个权限，而它应该有755个权限。请记住，这不是密钥文件夹，而是证书文件夹。我建议阅读这个此链接有关SSL权限。

我曾经做过

chmod 755 certs

问题解决了，至少对我来说是这样。

小开

XAMPP和OSX上的PHP 7有同样的错误。

上面提到的https://stackoverflow.com/中的答案很好，但它并没有完全解决我的问题。我必须提供完整的证书链才能使file_get_contents()再次工作。我就是这么做的:

获取根证书/中间证书

首先，我必须弄清楚中间证书的根而且是什么。

最方便的方法可能是像ssl-shopper这样的在线cert工具

在那里我找到了三个证书，一个服务器证书和两个链证书(一个是根证书，另一个显然是中间证书)。

我所要做的就是在网上把它们都找出来。在我的例子中，这是根:

thawte DV SSL SHA256 CA

它指向他的url thawte.com。所以我只是把这个证书放入一个文本文件，并为中间做了同样的事情。完成了。

获取主机证书

接下来我要做的是下载我的服务器证书。在Linux或OS X上，可以用openssl来完成:

openssl s_client -showcerts -connect whatsyoururl.de:443 </dev/null 2>/dev/null|openssl x509 -outform PEM > /tmp/whatsyoururl.de.cert

现在把他们聚在一起

现在把它们都合并到一个文件中。(也许把它们放在一个文件夹里比较好，我只是把它们合并到一个文件中)。你可以这样做:

cat /tmp/thawteRoot.crt > /tmp/chain.crt
cat /tmp/thawteIntermediate.crt >> /tmp/chain.crt
cat /tmp/tmp/whatsyoururl.de.cert >> /tmp/chain.crt

告诉PHP在哪里找到链

这里有一个方便的函数openssl_get_cert_locations()，它将告诉您PHP在哪里查找cert文件。还有这个参数，它将告诉file_get_contents()在哪里查找cert文件。也许两种方法都可行。我更喜欢参数方式。(与上述解决方案相比)。

这就是我的php代码

$arrContextOptions=array(
"ssl"=>array(
"cafile" => "/Applications/XAMPP/xamppfiles/share/openssl/certs/chain.pem",
"verify_peer"=> true,
"verify_peer_name"=> true,
),
);


$response = file_get_contents($myHttpsURL, 0, stream_context_create($arrContextOptions));

这是所有。File_get_contents()又开始工作了。没有CURL，希望没有安全缺陷。

小开

在使用wget或file_get_contents时，另一个安全页面也有同样的问题。大量的研究(包括对这个问题的一些回答)得出了一个简单的解决方案——安装Curl和PHP-Curl——如果我理解正确的话，Curl为Comodo提供了根CA，解决了这个问题

安装Curl和PHP-Curl插件，然后重新启动Apache

sudo apt-get install curl
sudo apt-get install php-curl
sudo /etc/init.d/apache2 reload

现在都在工作。

小开

在将php更新到php5.6后，在centOS上成为这个问题的受害者，我找到了一个适合我的解决方案。

在默认情况下，使用此命令获取放置证书的正确目录

php -r "print_r(openssl_get_cert_locations()['default_cert_file']);"

然后使用它来获取证书，并将其放在从上面的代码中找到的默认位置

wget http://curl.haxx.se/ca/cacert.pem -O <default location>

小开

以下步骤将修复此问题，

从这个链接下载CA证书:https://curl.haxx.se/ca/cacert.pem
找到并打开php.ini
寻找curl.cainfo并粘贴你下载证书的绝对路径。curl.cainfo ="C:\wamp\htdocs\cert\cacert.pem"
重启WAMP/XAMPP (apache服务器)。
它的工作原理!

希望有帮助!!

小开

为我工作，我使用PHP 5.6。应该启用Openssl扩展，并且在调用谷歌映射API verify_peer时使false 下面的代码是为我工作

<?php
$arrContextOptions=array(
"ssl"=>array(
"verify_peer"=>false,
"verify_peer_name"=>false,
),
);
$url = "https://maps.googleapis.com/maps/api/geocode/json?latlng="
. $latitude
. ","
. $longitude
. "&sensor=false&key="
. Yii::$app->params['GOOGLE_API_KEY'];


$data = file_get_contents($url, false, stream_context_create($arrContextOptions));


echo $data;
?>

小开

另一件要尝试的事情是重新安装ca-certificates作为详细的在这里。

# yum reinstall ca-certificates
...
# update-ca-trust force-enable
# update-ca-trust extract

另一件要尝试的事情是显式地允许一个站点的证书，如在这里所述(特别是如果一个站点是你自己的服务器，并且你已经有了.pem)。

# cp /your/site.pem /etc/pki/ca-trust/source/anchors/
# update-ca-trust extract

我在CentOS 6上升级到PHP 5.6后遇到了这个确切的SO错误，试图访问服务器本身，它有一个cheapsslsecurity证书，可能需要更新，但我安装了一个letsencrypt证书，上面的这两个步骤做到了这一点。我不知道为什么第二步是必要的。

有用的命令

查看openssl版本:

# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

查看PHP cli ssl当前设置:

# php -i | grep ssl
openssl
Openssl default config => /etc/pki/tls/openssl.cnf
openssl.cafile => no value => no value
openssl.capath => no value => no value

小开

首先，你需要在PHP中启用curl扩展。然后你可以使用这个函数:

function file_get_contents_ssl($url) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_HEADER, false);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_REFERER, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 3000); // 3 sec.
curl_setopt($ch, CURLOPT_TIMEOUT, 10000); // 10 sec.
$result = curl_exec($ch);
curl_close($ch);
return $result;
}

它的工作原理类似于函数file_get_contents (. .)。

例子:

echo file_get_contents_ssl("https://www.example.com/");

输出:

<!doctype html>
<html>
<head>
<title>Example Domain</title>
...

小开

对我来说，我在一台Windows 10机器(本地主机)上运行XAMPP，最近升级到PHP 8。我试图通过file_get_contents()打开本地主机HTTPS链接。

在我的php.ini文件中，有一行写着:

openssl.cafile="C:\Users\[USER]\xampp\apache\bin\curl-ca-bundle.crt"

这是用来验证“外部”的证书包。url，是Mozilla的一个包，有人已经讨论过了。我不知道XAMPP是这样来的，还是我过去建立的。

在某个时候，我在本地主机上设置了HTTPS，导致了另一个证书包。需要使用这个包来验证“;localhost"url。为了提醒自己这个bundle在哪里，我打开httpd-ssl.conf，找到这样一行:

SSLCertificateFile "conf/ssl.crt/server.crt"

(完整路径为C:\Users[USER]\xampp\apache\conf\ssl.crt\server.crt)

为了使本地主机和外部url同时工作，我复制了我的本地主机“server.crt"文件到Mozilla的bundle "curl-ca-bundle.crt"

.
.
.
m7I1HrrW9zzRHM76JTymGoEVW/MSD2zuZYrJh6j5B+BimoxcSg==
-----END CERTIFICATE-----


Localhost--I manually added this
================================
-----BEGIN CERTIFICATE-----
MIIDGDCCAgCgAwIBAgIQIH+mTLNOSKlD8KMZwr5P3TANBgkqhkiG9w0BAQsFADAU
...

在这一点上，我可以使用file_get_contents()与本地主机url和外部url，而无需额外配置。

file_get_contents("https://localhost/...");
file_get_contents("https://google.com");

小开

    <?php
$arrContextOptions=array(
"ssl"=>array(
"verify_peer"=>false,
"verify_peer_name"=>false,
),
);


$response = file_get_contents("https://maps.co.weber.ut.us/arcgis/rest/services/SDE_composite_locator/GeocodeServer/findAddressCandidates?Street=&SingleLine=3042+N+1050+W&outFields=*&outSR=102100&searchExtent=&f=json", false, stream_context_create($arrContextOptions));


echo $response; ?>

刚刚测试了PHP 7.2版本，它工作得很好

小开

$csm = stream_context_create(['ssl' =>[' capture_session_meta ' =比;真正的]]);

.$ sourceccountry =file_get_contents('https://api.wipmania.com/'.$ip.'?website.com'， FALSE， $csm)

小开

修复了macos 12.4 / Mamp 6.6 / Homebrew 3.5.2 / Openssl@3

终端

检查版本

openssl version -a

我的手指指向:

...
OPENSSLDIR: "/opt/homebrew/etc/openssl@3"
...

所以我查看了homebrew的dir /opt/homebrew/etc/openssl@3，找到了cert.pem，并确保我的Mamp当前版本的php的php.ini文件指向了homebrew正确的openssl版本的cert.pem

添加到php.ini

openssl.cafile=/opt/homebrew/etc/openssl@3/cert.pem