答案:macOS上PHP出现SSL证书验证失败是因cURL无法识别CA证书。1. 编辑php.ini,设置curl.cainfo和openssl.cafile指向有效cert.pem路径;2. 可通过Homebrew安装openssl@3并更新证书包;3. 开发环境可临时关闭CURLOPT_SSL_VERIFYPEER,但禁用不安全;4. 使用MAMP等集成环境时需手动配置其php.ini中的证书路径并重启服务。
如果您在macOS上使用PHP时遇到SSL证书验证失败的问题,这通常是因为PHP的cURL扩展无法正确识别受信任的CA证书,导致HTTPS请求中断。以下是解决此问题的具体步骤。
本文运行环境:MacBook Pro,macOS Sonoma
一、配置PHP使用系统或自定义CA证书路径
PHP在执行HTTPS请求时依赖cURL库,而cURL需要一个可信的证书颁发机构(CA)证书包来验证服务器身份。macOS系统自带的证书存储位置与PHP默认查找的路径不一致,可能导致证书验证失败。
1、打开php.ini配置文件,可通过命令php --ini查看其所在路径。
立即学习“PHP免费学习笔记(深入)”;
2、在php.ini中找到curl.cainfo和openssl.cafile指令。
3、将这两个参数指向macOS钥匙串访问中的系统信任根证书,或使用Homebrew安装的证书包,例如:
curl.cainfo="/opt/homebrew/etc/openssl@3/cert.pem"
openssl.cafile="/opt/homebrew/etc/openssl@3/cert.pem"
4、保存并重启Web服务或PHP-FPM进程使更改生效。
二、使用Homebrew更新OpenSSL并替换证书包
某些情况下,系统或PHP使用的OpenSSL版本较旧,证书库未及时更新,会导致无法验证新签发的SSL证书。
1、通过Homebrew安装最新版OpenSSL:brew install openssl@3。
2、下载最新的CA证书包(如从curl官网获取cacert.pem)。
3、将其复制到OpenSSL配置目录:cp cacert.pem /opt/homebrew/etc/openssl@3/cert.pem。
4、确保php.ini中的cafile路径指向该文件,如前所述。
三、临时禁用SSL验证(仅用于测试环境)
在开发或调试阶段,若需绕过SSL证书验证以快速排查问题,可临时关闭cURL的SSL检查。此方法存在安全风险,不得用于生产环境。
1、在PHP代码中设置cURL选项CURLOPT_SSL_VERIFYPEER为false。
2、示例代码:
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://example.com");
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_exec($ch);
curl_close($ch);
四、通过MAMP或XAMPP等集成环境修复证书路径
若使用MAMP等集成开发环境,其内置的PHP可能未正确链接系统证书,需手动指定证书文件位置。
1、进入MAMP安装目录,定位其php.ini文件,通常位于/Applications/MAMP/bin/php/php版本/conf/。
2、编辑php.ini,查找openssl.cafile和curl.cainfo。
3、设置路径为MAMP自带或外部有效的cert.pem文件,例如:
openssl.cafile=/Applications/MAMP/Library/OpenSSL/cert.pem
4、保存后重启MAMP服务。
