AWS S3 PHP SDK SSL 证书验证失败与 fopen 错误排查指南

理解 AWS S3 PHP SDK 中的 SSL 错误

在使用 aws s3 php sdk 访问 s3 存储桶中的文件时，如果 php 环境无法正确验证 s3 服务提供的 ssl 证书，便可能遇到一系列与 ssl 相关的错误。典型的错误信息包括：

• AWS HTTP error: Error creating resource: [message] fopen(): SSL operation failed with code 5.
• OpenSSL Error messages: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed

这些错误表明 PHP 在尝试建立与 S3 的安全连接（HTTPS）时，未能成功验证服务器的 SSL 证书。这通常是由于 PHP 无法找到或信任用于验证证书的根证书颁发机构（CA）文件。

此外，错误信息中还可能出现 error:02001018:system library:fopen:Too many open files 和 error:0B06F002:x509 certificate routines:X509_load_cert_file:system lib 等提示。这可能意味着在多次尝试连接失败或在证书验证过程中，系统因尝试打开过多文件（例如，重复加载证书文件或处理临时文件）而达到了文件句柄的限制。虽然“Too many open files”是一个系统层面的错误，但在这种上下文中，它往往是 SSL 验证失败的连锁反应或症状之一。

解决方案：配置 SSL 证书路径

解决此类问题的关键在于告知 PHP 运行时在哪里可以找到用于验证 SSL 证书的 CA 捆绑包。这通过修改 php.ini 文件中的 openssl.cafile 配置项来实现。

1. 定位 php.ini 文件： 通常可以通过运行 php --ini 命令来找到当前 PHP CLI 或 Web 服务器（如 PHP-FPM）所使用的 php.ini 文件的路径。

2. 修改 openssl.cafile 配置： 在 php.ini 文件中找到 ;openssl.cafile = 这一行。取消注释（如果已注释），并将其值设置为您的系统上包含可信 CA 证书的 .pem 文件的绝对路径。

   示例配置：

   立即学习“PHP免费学习笔记（深入）”；

   

   挖错网

   一款支持文本、图片、视频纠错和AIGC检测的内容审核校对平台。

   28

   查看详情

   ; 在 Linux/Unix 系统中，通常指向系统默认的 CA 证书捆绑包
   openssl.cafile = "/etc/ssl/certs/ca-certificates.crt"
   
   ; 在 Windows 系统中，可能需要指定一个自定义路径
   ; openssl.cafile = "C:\path\to\your\ca-bundle.pem"

   登录后复制

   请确保提供的路径是正确的，并且 PHP 进程有权限读取该文件。

3. 重启 PHP 服务： 修改 php.ini 后，必须重启您的 PHP 解释器或 Web 服务器（例如 Apache、Nginx 的 PHP-FPM 服务），以使更改生效。

获取并管理 SSL 证书

为了确保 openssl.cafile 指向的证书文件是最新且可靠的，您可以采取以下方法：

• 使用系统默认 CA 捆绑包： 在大多数 Linux 发行版中，系统会维护一个包含受信任 CA 证书的捆绑包，例如 /etc/ssl/certs/ca-certificates.crt 或 /etc/pki/tls/certs/ca-bundle.crt。优先使用这些系统维护的路径，因为它们会随系统更新而保持最新。

• 从 AWS Certificate Manager (ACM) 导出证书： 如果您的应用程序需要验证特定于 AWS 环境的证书（尽管通常 S3 使用公共 CA 签发的证书），或者您在其他场景下需要自定义证书，可以从 AWS Certificate Manager (ACM) 导出证书。在 AWS 控制台中，选择 ACM 服务，找到您的证书，并按照指引导出为 PEM 格式。

• 利用 IAM Role 增强安全性： 虽然 openssl.cafile 用于客户端验证服务器证书，但如果您在 AWS 环境中运行 PHP 应用程序，建议为您的 EC2 实例或容器配置 IAM Role。通过 IAM Role，您可以授予应用程序访问 S3 的权限，而无需在代码中硬编码 AWS 凭证。这与 SSL 证书验证是两个不同的安全层面，但都是确保 AWS 交互安全的关键实践。IAM Role 并不直接提供 CA 证书文件，而是提供访问 AWS 服务的授权。

注意事项

• 文件权限：确保 openssl.cafile 指向的 .pem 文件对运行 PHP 进程的用户是可读的。
• 证书更新：定期更新系统上的 CA 证书捆绑包，以应对新的根证书或旧证书过期的情况。
• 开发环境与生产环境：在开发环境中，有时为了快速调试，可能会暂时禁用 SSL 验证（例如通过 Guzzle 客户端的 verify 选项设置为 false）。但在生产环境中，绝不推荐禁用 SSL 验证，这会使您的应用程序面临中间人攻击的风险。
• “Too many open files”的进一步排查：如果配置 openssl.cafile 后，“Too many open files”错误仍然频繁出现，这可能指示系统级别的文件句柄限制（ulimit -n）过低。在这种情况下，您需要调整操作系统的文件句柄限制。

总结

正确配置 openssl.cafile 是解决 AWS S3 PHP SDK 中 SSL 证书验证失败的关键步骤，它确保了 PHP 能够安全地与 S3 服务进行通信。通过指定一个包含可信 CA 证书的路径，可以消除 SSL operation failed 和 certificate verify failed 等错误，同时可能缓解因重复失败连接导致的“Too many open files”问题。遵循这些指导原则，将有助于构建更健壮、安全的 AWS PHP 应用程序。

以上就是AWS S3 PHP SDK SSL 证书验证失败与 fopen 错误排查指南的详细内容，更多请关注php中文网其它相关文章！