在 PHP 中验证 SSL 证书主要涉及确保与远程服务器的 HTTPS 连接是安全且受信任的,以下是几种常用的方法及代码示例:
方法 1:使用 cURL 验证 SSL 证书(推荐)
<?php
$url = 'https://example.com';
// 初始化 cURL
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true); // 必须设为 true 验证证书
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2); // 严格检查主机名匹配
// 设置 CA 证书包路径(可选,但建议显式指定)
curl_setopt($ch, CURLOPT_CAINFO, '/path/to/cacert.pem'); // 从 https://curl.se/docs/caextract.html 下载
// 执行请求
$response = curl_exec($ch);
// 检查错误
if (curl_errno($ch)) {
$error = curl_error($ch);
echo "SSL 验证失败: " . htmlspecialchars($error);
} else {
echo "连接成功,证书有效!";
// 可选:获取证书详细信息
$certInfo = curl_getinfo($ch, CURLINFO_CERTINFO);
var_dump($certInfo);
}
curl_close($ch);
?>
方法 2:使用流上下文(Stream Context)验证
<?php
$url = 'https://example.com';
// 配置 SSL 验证参数
$contextOptions = [
'ssl' => [
'verify_peer' => true, // 验证证书
'verify_peer_name' => true, // 验证主机名
'allow_self_signed' => false, // 禁止自签名证书
'cafile' => '/path/to/cacert.pem', // CA 证书包
]
];
// 创建上下文
$context = stream_context_create($contextOptions);
// 尝试请求
$response = file_get_contents($url, false, $context);
if ($response === false) {
$error = error_get_last();
echo "SSL 验证失败: " . htmlspecialchars($error['message']);
} else {
echo "连接成功,证书有效!";
}
?>
方法 3:手动检查证书有效期
<?php
$host = 'example.com';
$port = 443;
// 获取服务器证书
$cert = openssl_x509_parse(
stream_socket_get_certificate("ssl://{$host}:{$port}")
);
if (!$cert) {
die("无法获取证书");
}
// 检查有效期
$validFrom = date('Y-m-d', $cert['validFrom_time_t']);
$validTo = date('Y-m-d', $cert['validTo_time_t']);
$now = time();
if ($now < $cert['validFrom_time_t']) {
die("证书尚未生效(生效时间: {$validFrom})");
} elseif ($now > $cert['validTo_time_t']) {
die("证书已过期(过期时间: {$validTo})");
}
echo "证书有效!有效期: {$validFrom} 至 {$validTo}";
?>
关键注意事项:
-
CA 证书包:
- 从 cURL CA 证书包 下载最新的
cacert.pem。 - 在代码中通过
CURLOPT_CAINFO或cafile显式指定路径,避免依赖系统配置。
- 从 cURL CA 证书包 下载最新的
-
验证深度:
- 确保启用
verify_peer和verify_peer_name(或 cURL 的VERIFYHOST=2)。 - 禁用
allow_self_signed(除非测试环境)。
- 确保启用
-
错误处理:
- 捕获 cURL 错误码(如
CURLE_SSL_CACERT)或流错误。 - 常见错误:证书过期、主机名不匹配、CA 未受信任。
- 捕获 cURL 错误码(如
-
调试技巧:
// cURL 详细日志 curl_setopt($ch, CURLOPT_VERBOSE, true); curl_setopt($ch, CURLOPT_STDERR, fopen('curl.log', 'w+'));
自签名证书测试(仅限开发环境)
// 临时跳过验证(不安全!生产环境禁用) curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
| 方法 | 适用场景 | 优势 |
|---|---|---|
| cURL | HTTP 请求场景 | 灵活、详细错误信息、支持代理 |
| 流上下文 | file_get_contents 简单请求 |
内置函数集成 |
| OpenSSL 函数 | 手动检查证书细节 | 获取证书详细信息(如有效期) |
始终在生产环境中启用严格验证,确保通信安全。
图片来源于AI模型,如侵权请联系管理员。作者:酷小编,如若转载,请注明出处:https://www.kufanyun.com/ask/289294.html
