关于PHP cafile的设置
PHP cafile是一项配置,用于指定服务器访问HTTPS时验证SSL证书有效性所用的根证书列表。在进行网络请求时,我们需要保证请求的网站的证书是被一个可信的证书颁发机构信任的,否则可能会遭到中间人(Man-in-the-middle)攻击,导致数据泄露或篡改等风险。
在PHP中,默认的cafile路径是在操作系统级别的ca证书路径中。例如,在CentOS6系统中,默认的ca证书路径是/etc/pki/tls/certs/ca-bundle.crt
curl_setopt($ch, CURLOPT_CAINFO, '/etc/pki/tls/certs/ca-bundle.crt');如果我们的操作系统没有特地安装HTTPS证书,我们需要手动的设置PHP的cafile。例如,我们可以在 curl_init() 函数中设置 CURLOPT_CAINFO 参数,将证书地址路径指向我们的cafile。
$curl = curl_init();curl_setopt($curl, CURLOPT_URL, $url);curl_setopt($curl, CURLOPT_RETURNTRANSFER,true);curl_setopt($curl, CURLOPT_SSL_VERIFYPEER,true);curl_setopt($curl, CURLOPT_CAINFO, __DIR__.'/cacert.pem'); // 将证书地址路径指向我们的cafile$result=curl_exec($curl);curl_close($curl);$result=json_decode($result,true);注意:进行HTTPS请求时过程可能很慢,根据curl_setopt参数,应该增加ssl超时时间(或者忽略SSL校验,不过不提倡这种写法,安全性极低)
同时,我们也可以使用内置函数 openssl_get_cert_locations() 获取服务器端证书的路径。
var_dump(openssl_get_cert_locations()); //array(8) {//["default_cert_file"]=>string(21) "/usr/local/etc/openssl/cert.pem"//["default_cert_file_env"]=>string(13) "SSL_CERT_FILE"//["default_cert_dir"]=>string(22) "/usr/local/etc/openssl"//["default_cert_dir_env"]=>string(12) "SSL_CERT_DIR"//["default_private_dir"]=>string(24) "/usr/local/etc/openssl/private"//["default_default_cert_area"]=>string(12) "/usr/local/ssl"//["ini_cafile"]=>string(27) "/usr/local/etc/openssl/cacert.pem"//["ini_capath"]=>string(0) ""//}这个函数返回一个包含了多种证书路径的数组,在实际应用中,我们可以使用这个函数的结果替代硬编码的cafile路径。
需要注意的是,本文说明的所有内容只在使用curl进行HTTPS请求的时候指定cafile是有用,如果你使用其他的客户端程序或函数库,需要查看对应的文档确认如何指定cafile。
在实际应用中,HTTPS请求已经成为非常普遍的访问方式。掌握PHP cafile的设置方式能够让我们保护自己的数据安全!
