解决PHP cURL访问HTTPS时SSL证书验证失败问题,可临时关闭验证(不推荐)或配置CA证书路径。1. 关闭验证:设CURLOPT_SSL_VERIFYPEER为false、CURLOPT_SSL_VERIFYHOST为false,仅用于测试。2. 推荐方案:下载cacert.pem并用CURLOPT_CAINFO指定路径,确保证书可信。3. 可在php.ini中设置curl.cainfo全局生效。生产环境必须启用验证以保障安全。
在使用 PHP 的 cURL 扩展读取 HTTPS 网页内容时,经常会遇到 SSL 证书验证失败的问题,比如目标网站使用了自签名证书、过期证书或 CA 不被信任。这时程序会抛出类似 "SSL certificate problem: unable to get local issuer certificate" 的错误。以下是几种解决方式,包括关闭证书校验和正确设置 CA 路径。
关闭 cURL 的 SSL 证书验证(不推荐用于生产)
如果你只是在测试环境或内网中使用,可以临时关闭 SSL 证书验证来获取网页内容。
通过设置以下两个 cURL 选项即可跳过证书检查:
- CURLOPT_SSL_VERIFYPEER:设为 false,跳过对远程服务器证书的验证。
- CURLOPT_SSL_VERIFYHOST:设为 false 或 0,表示不验证证书中的主机名。
示例代码:
立即学习“PHP免费学习笔记(深入)”;
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://example.com");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
// 关闭 SSL 证书验证
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
$content = curl_exec($ch);
if (curl_error($ch)) {
echo "cURL Error: " . curl_error($ch);
} else {
echo $content;
}
curl_close($ch);
设置正确的 CA 证书路径(推荐方案)
更安全的做法是让 cURL 使用可信的 CA 证书包进行验证。很多 PHP 环境默认没有配置 CA bundle,导致无法验证 HTTPS 证书。
你可以手动指定一个 CA 证书文件(如 Mozilla 提供的 cacert.pem)。
步骤如下:
- 下载最新的 CA 证书包:https://www.php.cn/link/5fe4dadcdb001d8566cd20e6d8a20251
- 将文件保存到服务器上的某个目录,例如:
/path/to/cacert.pem - 在 cURL 请求中指定该路径
示例代码:
立即学习“PHP免费学习笔记(深入)”;
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "https://example.com");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
// 启用证书验证
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2); // 验证主机名
// 指定 CA 证书路径
curl_setopt($ch, CURLOPT_CAINFO, "/path/to/cacert.pem");
$content = curl_exec($ch);
if (curl_error($ch)) {
echo "cURL Error: " . curl_error($ch);
} else {
echo $content;
}
curl_close($ch);
全局设置 CA 路径(php.ini 配置)
为了避免每次请求都手动设置 CA 路径,可以在 php.ini 中统一配置:
curl.cainfo = "/path/to/cacert.pem"
这样所有使用 cURL 的 HTTPS 请求都会自动使用该 CA 文件进行验证。
修改后重启 Web 服务使配置生效。
其他注意事项
某些情况下即使设置了 CAINFO 仍可能失败,尤其是 Windows 系统上 WAMP/XAMPP 默认未配置证书路径。此时除了设置 CURLOPT_CAINFO,也可尝试设置:
curl_setopt($ch, CURLOPT_CAPATH, "/path/to/cert/dir"); // CA 证书所在目录
但推荐优先使用 CURLOPT_CAINFO 指向具体的 pem 文件。
基本上就这些。生产环境务必开启证书验证并正确配置 CA 证书路径,避免因关闭校验带来的安全隐患。
