PHP HTTPS请求SSL错误的解决方法包括:一、验证证书有效性与域名匹配;二、开发环境临时禁用cURL SSL验证;三、部署完整证书链;四、指定CA证书路径;五、校准服务器时间。
如果您在网页中嵌入 PHP 链接时失败,且浏览器控制台或服务器日志提示 SSL 证书相关错误,则可能是由于证书不被信任、域名不匹配、证书过期或本地环境未正确验证证书链所致。以下是解决此问题的步骤:
一、检查证书有效性与域名匹配
SSL 证书必须由受信任的证书颁发机构(CA)签发,且其 Subject Alternative Name(SAN)或 Common Name(CN)需精确匹配当前请求的域名。若使用自签名证书或测试证书,现代浏览器和 PHP cURL 默认拒绝建立连接。
1、在浏览器地址栏访问该 PHP 接口 URL,点击地址栏锁形图标,查看证书详情,确认“有效期”是否在当前时间范围内。
2、核对证书中显示的“颁发给”字段,确保与您代码中调用的域名完全一致(包括 www 与非 www、子域名层级)。
立即学习“PHP免费学习笔记(深入)”;
3、在终端执行:openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -text,检查 SAN 列表是否包含实际使用的域名。
二、禁用 PHP cURL 的 SSL 验证(仅限开发环境)
PHP 使用 cURL 请求 HTTPS 资源时,默认启用 CURLOPT_SSL_VERIFYPEER 和 CURLOPT_SSL_VERIFYHOST,强制校验证书。临时绕过可快速定位是否为证书问题,但严禁用于生产环境。
1、在调用 curl_init() 后立即设置:curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
2、追加设置:curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
3、确保上述两行在 curl_exec() 前执行,且未被其他配置覆盖。
三、部署完整证书链并配置 Web 服务器
部分 Nginx/Apache 配置仅加载站点证书,未包含中间证书(Intermediate CA),导致客户端无法构建可信链。PHP 客户端依赖系统 CA 存储或指定的 CA bundle,若链不完整则校验失败。
1、从证书提供商处下载完整的证书包(通常含 site.crt、intermediate.crt、root.crt)。
2、将站点证书与中间证书合并为一个文件:cat site.crt intermediate.crt > fullchain.pem
3、在 Nginx 中配置 ssl_certificate 指向 fullchain.pem;在 Apache 中使用 SSLCertificateFile 指向该文件。
四、指定 CA 证书路径供 PHP 使用
当系统 CA 存储缺失或过旧(如 Alpine Linux 容器、老旧 CentOS),PHP cURL 无法验证远程证书。可通过 CURLOPT_CAINFO 显式指定可信根证书路径。
1、下载 Mozilla CA 证书包:curl -o /etc/ssl/certs/ca-bundle.crt https://curl.se/ca/cacert.pem
2、在 PHP cURL 初始化后添加:curl_setopt($ch, CURLOPT_CAINFO, '/etc/ssl/certs/ca-bundle.crt');
3、确认该路径在 PHP 进程中具有读取权限,且文件格式为 PEM 编码。
五、检查服务器时间与证书有效期关联性
SSL/TLS 协议严格依赖系统时间。若服务器本地时间偏差超过数分钟,即使证书本身有效,也会被判定为“尚未生效”或“已过期”。
1、执行:date 查看当前系统时间是否准确。
2、若时间异常,启用 NTP 同步:systemctl enable --now chronyd(RHEL/CentOS)或 systemctl enable --now systemd-timesyncd(Debian/Ubuntu)。
3、重启 Web 服务与 PHP-FPM 进程,使新时间生效于所有子进程。
