php - curl 失败，错误 #58 : unable to use client certificate (no key found or wrong pass phrase? )

Question

我得到这个错误: fatal error :Curl 失败，错误 #58:无法使用客户端证书(未找到 key 或密码短语错误？)

我有一个脚本可以从 .p12 文件中提取证书信息。我认为这是开始的问题，但是我用它来粘贴生成的 .pem 文件的内容: https://www.sslshopper.com/certificate-decoder.html它解码/看到一切都很好。所以我认为 .pem 没问题。

$ch = curl_init();
            curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
                  curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0); 
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
            curl_setopt($ch, CURLOPT_SSLCERT, 'cert.pem'); 
            curl_setopt($ch, CURLOPT_TIMEOUT, 10);
            curl_setopt($ch, CURLOPT_POST, true);
            curl_setopt($ch, CURLOPT_POSTFIELDS, $xml_post_string);
            curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
            // converting
            $response = curl_exec($ch); 
            // converting
            $response1 = str_replace("<soap:Body>","",$response);
            $response2 = str_replace("</soap:Body>","",$response1);
            if($response === false){
              throw new Exception(curl_error($ch), curl_errno($ch));
            }

pem 文件是这样的:

-----BEGIN CERTIFICATE-----
<cert bla bla>
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
<key bla bla>
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
<cert bla bla>
-----END CERTIFICATE-----–

欢迎提出任何建议。

谢谢

Answer 1

首先是一些评论:

• 通过使用这些设置，you're opening yourself to potential MITM attacks :

  curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
  curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0);
  

  您通常需要 VERIFYHOST=2 和 VERIFYPEER=true(无论如何应该是默认值)。 正确进行验证还意味着您将需要在 CAINFO 或 CAPATH 中设置 CA 证书或服务器证书。我会引用 PHP/curl documentation for this option这里:

  Alternate certificates to verify against can be specified with the CURLOPT_CAINFO option or a certificate directory can be specified with the CURLOPT_CAPATH option.

• 将您的私钥(您在 -----BEGIN PRIVATE KEY----- block 中获得)粘贴到您不太了解的远程网站是这一定是个好主意。您的私钥应保密。您可以使用 openssl x509 和 openssl rsa 检查格式是否符合您的预期。

libcurl 中有两个选项:CURLOPT_SSLCERT 和CURLOPT_SSLKEY，分别用于证书及其私钥。我必须承认我最近没有尝试过 PHP cURL 绑定(bind)，有些工具确实可以让您将证书和私钥放在同一个文件中(就像您所做的那样)，但是 PHP documentation 中的一些评论建议你可以这样做，libcurl's documentation 中并没有真正提到这一点(您在这里没有使用 P12 格式)。此外，libcurl 本身不记录 CURLOPT_SSLCERTPASSWD(这对于证书文件中受密码保护的 key 有意义)，因此 PHP 绑定(bind)和 libcurl 本身可能存在一些细微差别(您会发现大多数其他选项几乎都是直接映射)。

我建议将 -----BEGIN/END PRIVATE KEY----- 之间的内容移动到一个单独的文件中，并将 CURLOPT_SSLKEY 指向该文件路径，并使用当前设置保留证书(可能还有它的链，以下证书)。确保证书链的顺序正确，特别是确保第一个是您的客户端证书(您拥有其私钥)。您可以通过将其粘贴到 openssl x509 -text -noout 的标准输入中来检查每个 -----BEGIN/END CERTIFICATE----- block 的内容.这些 block 中的每一个都会给你一个主题和发行者。带有主题 X 和颁发者 Y 的证书后应跟有带有主题 Y 和颁发者 Z 的证书(依此类推)。