我得到这个错误: fatal error :Curl 失败,错误 #58:无法使用客户端证书(未找到 key 或密码短语错误?)
我有一个脚本可以从 .p12 文件中提取证书信息。我认为这是开始的问题,但是我用它来粘贴生成的 .pem 文件的内容: https://www.sslshopper.com/certificate-decoder.html它解码/看到一切都很好。所以我认为 .pem 没问题。
$ch = curl_init();
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSLCERT, 'cert.pem');
curl_setopt($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $xml_post_string);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
// converting
$response = curl_exec($ch);
// converting
$response1 = str_replace("<soap:Body>","",$response);
$response2 = str_replace("</soap:Body>","",$response1);
if($response === false){
throw new Exception(curl_error($ch), curl_errno($ch));
}
pem 文件是这样的:
-----BEGIN CERTIFICATE-----
<cert bla bla>
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
<key bla bla>
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
<cert bla bla>
-----END CERTIFICATE-----–
欢迎提出任何建议。
谢谢
最佳答案
首先是一些评论:
通过使用这些设置,you're opening yourself to potential MITM attacks :
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0);
您通常需要
VERIFYHOST=2
和VERIFYPEER=true
(无论如何应该是默认值)。 正确进行验证还意味着您将需要在 CAINFO 或 CAPATH 中设置 CA 证书或服务器证书。我会引用 PHP/curl documentation for this option这里:Alternate certificates to verify against can be specified with the CURLOPT_CAINFO option or a certificate directory can be specified with the CURLOPT_CAPATH option.
将您的私钥(您在
-----BEGIN PRIVATE KEY-----
block 中获得)粘贴到您不太了解的远程网站是这一定是个好主意。您的私钥应保密。您可以使用openssl x509
和openssl rsa
检查格式是否符合您的预期。
libcurl
中有两个选项:CURLOPT_SSLCERT
和CURLOPT_SSLKEY
,分别用于证书及其私钥。我必须承认我最近没有尝试过 PHP cURL 绑定(bind),有些工具确实可以让您将证书和私钥放在同一个文件中(就像您所做的那样),但是 PHP documentation 中的一些评论建议你可以这样做,libcurl
's documentation 中并没有真正提到这一点(您在这里没有使用 P12 格式)。此外,libcurl 本身不记录 CURLOPT_SSLCERTPASSWD
(这对于证书文件中受密码保护的 key 有意义),因此 PHP 绑定(bind)和 libcurl 本身可能存在一些细微差别(您会发现大多数其他选项几乎都是直接映射)。
我建议将 -----BEGIN/END PRIVATE KEY-----
之间的内容移动到一个单独的文件中,并将 CURLOPT_SSLKEY
指向该文件路径,并使用当前设置保留证书(可能还有它的链,以下证书)。确保证书链的顺序正确,特别是确保第一个是您的客户端证书(您拥有其私钥)。您可以通过将其粘贴到 openssl x509 -text -noout
的标准输入中来检查每个 -----BEGIN/END CERTIFICATE-----
block 的内容.这些 block 中的每一个都会给你一个主题和发行者。带有主题 X 和颁发者 Y 的证书后应跟有带有主题 Y 和颁发者 Z 的证书(依此类推)。
关于php - curl 失败,错误 #58 : unable to use client certificate (no key found or wrong pass phrase? ),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26976806/