php使用curl库进行ssl双向认证

最新推荐文章于 2021-03-19 16:52:05 发布
转载 最新推荐文章于 2021-03-19 16:52:05 发布 · 96 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/slagga/blog/776729
文章标签:

#php #python

本文介绍了一种PHP中实现SSL双向认证的方法,并提供了具体的代码示例。通过设置CURLOPT_SSL_VERIFYPEER等选项,确保了web服务器与客户端之间的安全通信。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

官方文档:

http://www.php.net/manual/zh/function.curl-setopt.php#10692

官方举例:

<?php
curl_setopt($ch, CURLOPT_VERBOSE, '1');
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, '1');
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, '1');
curl_setopt($ch, CURLOPT_CAINFO,  getcwd().'/cert/ca.crt');
curl_setopt($ch, CURLOPT_SSLCERT, getcwd().'/cert/mycert.pem');
curl_setopt($ch, CURLOPT_SSLCERTPASSWD, 'password');
?>

由于业务原因,后台登陆需要使用SSL双向认证,即web服务器有证书,浏览器客户端也需要安装证书

然后这样的话,php接口文件就需要走443端口来访问了

直接附上代码:

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

/**

 * @name ssl Curl Post数据

 * @param string $url 接收数据的api

 * @param string $vars 提交的数据

 * @param int $second 要求程序必须在$second秒内完成,负责到$second秒后放到后台执行

 * @return string or boolean 成功且对方有返回值则返回

 */

function curl_post_ssl($url, $vars, $second=30,$aHeader=array())

{

                $ch = curl_init();

                //curl_setopt($ch,CURLOPT_VERBOSE,'1');

                curl_setopt($ch,CURLOPT_TIMEOUT,$second);

                curl_setopt($ch,CURLOPT_RETURNTRANSFER, 1);

                curl_setopt($ch,CURLOPT_URL,$url);

                curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,false);

                curl_setopt($ch,CURLOPT_SSL_VERIFYHOST,false);

                curl_setopt($ch,CURLOPT_SSLCERTTYPE,'PEM');

                curl_setopt($ch,CURLOPT_SSLCERT,'/data/cert/php.pem');

                curl_setopt($ch,CURLOPT_SSLCERTPASSWD,'1234');

                curl_setopt($ch,CURLOPT_SSLKEYTYPE,'PEM');

                curl_setopt($ch,CURLOPT_SSLKEY,'/data/cert/php_private.pem');

 

                if( count($aHeader) >= 1 ){

                        curl_setopt($ch, CURLOPT_HTTPHEADER, $aHeader);

                }

 

                curl_setopt($ch,CURLOPT_POST, 1);

                curl_setopt($ch,CURLOPT_POSTFIELDS,$vars);

                $data = curl_exec($ch);

                curl_close($ch);

                if($data)

                        return $data;

                else   

                        return false;

}

参数解释:

 

CURLOPT_TIMEOUT:超时时间

CURLOPT_RETURNTRANSFER:是否要求返回数据

CURLOPT_SSL_VERIFYPEER:是否检测服务器的证书是否由正规浏览器认证过的授权CA颁发的

CURLOPT_SSL_VERIFYHOST:是否检测服务器的域名与证书上的是否一致

CURLOPT_SSLCERTTYPE:证书类型,"PEM" (default), "DER", and"ENG".

CURLOPT_SSLCERT:证书存放路径

CURLOPT_SSLCERTPASSWD:证书密码

CURLOPT_SSLKEYTYPE:私钥类型,"PEM" (default), "DER", and"ENG".

CURLOPT_SSLKEY:私钥存放路径

 

 

由于php的curl只支持pem格式der、eng格式,而之前生成的是p12的格式,所以需要转换一下

PKCS#12 到 PEM 的转换

openssl pkcs12 -nocerts -nodes -in cert.p12 -out private.pem
验证 
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out cert.pem

转载于:https://my.oschina.net/slagga/blog/776729

php实现https(tls/ssl)双向认证
qq_35396905的博客
04-27 1859
IT超级码农 keep clam and carry on php实现https(tls/ssl)双向认证 php实现https(tls/ssl)双向认证 通常情况下,在部署https的时候,是基于ssl单向认证的,也就是说只要客户端认证服务器,而服务器不需要认证客户端。 但在一些安全性较高的场景,如银行,金融等领域,通常会要求进行客户端认证。从而实现ssl双向认证。 由于nginx...
SSL Socket 双向认证
u014548782的专栏
04-13 3721
一、简介
phpcurl 得到ssl双向认证的文件
IT生涯
12-18 2601
$strurl="https://192.168.6.120/index.html"; function gethttpsdata($strurl){ $tuCurl = curl_init(); curl_setopt($tuCurl, CURLOPT_URL, $strurl); curl_setopt($tuCurl, CURLOPT_PORT , 443); cur
php双向验证SSL,PHPSSL加密解密、验证、签名方法(很简单)
weixin_35682082的博客
03-10 220
38月/16RSA超级简单,依赖于Openfunction sign($data) {//读取私钥文件(//转换为openssl密钥,必须是没有经过pkcs8转换的私钥(不要使用这个私钥rsa_private_key_pkcs8.pem)$res = openssl_get_privatekey($priKey);//调用openssl内置//释放资源openssl_free_key($res);...
bi java lajp 和php_PHP SM2 国密算法与 CURL SSL 双向认证
weixin_40001634的博客
01-15 2830
最近在对接民生银行的电子账户接口,按照民生的要求,调用接口需要涉及 SM2 国密算法及 SSL 双向认证。目前银行端提供的只有 JAVA 版的 SDK,把 PHP 作为开发语言的我们表示很受伤。本文就针对涉及的两个点进行说明,简单汇总下 PHP 语言中的解决方案。1、SM2 国密算法针对接口请求参数的加密加签及响应数据的解密验签操作,民生银行的要求如下:对数据进行 PKCS#7 带原文签名,并将签...
客户端PHP 面对WebService 接口ssl双向认证
qq_33240634的博客
03-19 306
客户端PHP 面对WebService 接口ssl双向认证 客户端PHP 面对WebService 接口ssl双向认证 关键词:PHP、WebService 、PHP对接WebService接口 、ssl双向认证 开发过程中可能会出现如下: 问题点1: php调用server,php的soapClient只识别DER、PEM或者ENG格式的证书,所以必须要把client.p12转换为php可识别的pem文件,这时用到了openssl。 执行命令: openssl pkcs12 -in client.p
SSL双向认证(高清版)
Linvo's blog
06-26 1万+
上一篇介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginx的ssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先自
SSL CA客户端证书双向认证IIS配置及代码验证
soarheaven的专栏
08-18 6233
1。申请一个SSL证书       我是在腾讯云上申请了一个免费的证书,申请后下载证书,部署到服务器,部署过程参照以下(从腾讯证书安装指南Copy过来的  https://www.qcloud.com/document/product/400/4143 ) 3. IIS 证书部署 3.1 获取证书 IIS文件夹内获得SSL证书文件 www.domain.com.pfx。 3.2
PHP使用CURLphp curl详细解析和常见大坑
ld17822307870的博客
02-08 332
这篇文章主要介绍了PHP使用CURLphp curl详细解析和常见大坑 ,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧 七夕啦,作为开发,妹子没得撩就“撩”下服务器吧,妹子有得撩的同学那就左拥妹子右抱服务器吧,况且妹子是要礼物的,服务器又不用。好啦,长话短说再长说,祭出今天的工具——CURL(Client URL Library),当然今天以PHP的方式来使用这件工具。 0. curl是个什么东西 PHP supports libcurl, a library create.
TLS单、双向认证资料
11-27
TLS单向认证双向认证wireshark抓包、单、双向认证客户端log、证书生成脚本、TLS客户端、服务器创建脚本
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
热门推荐
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.youkuaiyun.com/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
SSL双向认证以及证书的制作和使用
weixin_30500473的博客
10-26 2845
客户端认证服务器: 正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书: 我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含VeriSign的根证书,那么浏览器访问服务...
curl 忽略证书 指定证书 设置默认 证书 路径
瑞哥的博客
04-18 1万+
1. 忽略证书 直接 curl -k 即可 2.指定证书 curl --cacert 路径 3.设定系统环境变量方式 指定证书,无需--cacert set CURL_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt set CURL_CA_BUNDLE=c:\curl\ca-certificates.crt ...
C++ windows客户端支持SSL双向认证
a6222848的博客
08-05 1092
C++windows客户端支持SSL双向认证,服务端是JAVA开发的,使用的证书是jks格式的。C++并不支持JKS格式的证书,所以要用openssl进行转换下。 1、 需要先把jks转成.p12文件 keytool -importkeystore -srckeystore demo.jks -destkeystore demo.p12 -srcstoretype j...
linux c++ curl https 请求并双向验证SSL证书
chenyijun的专栏
04-15 6231
https://www.cnblogs.com/yongpan/p/8084854.html 1、配置curl https请求需要提供CA证书、客户端证书和客户端秘钥,这三个文件的pem格式。   分别对应 curl_easy_setopt() 函数的 下面三个参数:   CURLOPT_CAINFO - path to Certificate Authority (CA) bundle ...
Android与Windows Socket通信,TLS双向认证
peterhu_112的博客
08-15 2657
Android与Windows Socket通信,TLS双向认证 Android设备作为客户端,与PC服务端进行双向认证、基于TLS 1.2协议socket通信。 证书制作 CA签发 JKS转换BKS 加密套件修改 双向认证demo 证书制作 由于是双向认证,需要制作客户端和服务器证书,这里用到的是JAVA自带的keytool工具(请自行安装JDK环境)。 话不多说,上证书制...
cURL 错误: SSL certificate problem: self signed certificate
最新发布
08-27
<think>问题:cURL 错误: SSL certificate problem: self signed certificate 原因:这个错误是因为cURL在验证SSL证书时发现该证书是自签名的(即不是由受信任的证书颁发机构CA签发的),因此cURL默认会拒绝连接。 解决方案: 1. 如果是测试环境,可以选择忽略证书验证(不推荐生产环境使用)。 2. 将自签名证书添加到受信任的根证书列表中。 3. 或者,在请求中指定该自签名证书为信任证书。 下面分别给出几种解决方案的代码示例:</think>### 解决 "SSL certificate problem: self signed certificate" 错误 这个错误表示 cURL 遇到了自签名证书(不是由受信任的证书颁发机构 CA 签发的)。以下是几种解决方案,根据您的使用场景选择: --- #### 方案 1:临时禁用 SSL 验证(仅限测试环境) ```php <?php $ch = curl_init("https://your-api-url.com"); // 禁用 SSL 验证(仅测试环境使用curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0); // 0 = 不验证主机名 // 其他设置 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_TIMEOUT, 10); $response = curl_exec($ch); if (curl_errno($ch)) { die("cURL 错误: " . curl_error($ch)); } curl_close($ch); echo $response; ?> ``` > **警告**:此方法会禁用所有 SSL/TLS 安全检查,使连接容易受到中间人攻击。**切勿在生产环境中使用**。 --- #### 方案 2:信任特定自签名证书(推荐) 1. **获取服务器证书**: ```bash openssl s_client -connect your-api-url.com:443 -showcerts </dev/null 2>/dev/null | sed -n '/BEGIN CERTIFICATE/,/END CERTIFICATE/p' > server-cert.pem ``` 2. **在 PHP 代码中指定证书**: ```php <?php $ch = curl_init("https://your-api-url.com"); // 指定自签名证书路径 curl_setopt($ch, CURLOPT_CAINFO, __DIR__ . '/server-cert.pem'); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2); // 严格验证主机名 // 其他设置 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); $response = curl_exec($ch); if (curl_errno($ch)) { die("cURL 错误: " . curl_error($ch)); } curl_close($ch); echo $response; ?> ``` --- #### 方案 3:将证书添加到系统信任(永久解决方案) 1. **查找系统 CA 证书路径**: ```php <?php phpinfo(); // 查找 "curl.cainfo" 或 "openssl.cafile" ?> ``` 2. **将自签名证书添加到 CA 包**: ```bash # 将自签名证书附加到 CA 包 cat server-cert.pem >> /etc/ssl/certs/ca-certificates.crt # 或指定到 PHP 配置 # 在 php.ini 中添加: # curl.cainfo = "/path/to/your/ca-bundle.crt" # openssl.cafile = "/path/to/your/ca-bundle.crt" ``` --- #### 方案 4:使用 Guzzle HTTP 客户端(更灵活) ```php <?php require 'vendor/autoload.php'; use GuzzleHttp\Client; use GuzzleHttp\Exception\RequestException; // 创建自定义处理自签名证书的客户端 $client = new Client([ 'verify' => false, // 禁用验证(测试环境) // 或指定证书路径 // 'verify' => __DIR__ . '/server-cert.pem', 'timeout' => 10, 'headers' => [ 'User-Agent' => 'MyApp/1.0', ] ]); try { $response = $client->get('https://your-api-url.com'); echo $response->getBody(); } catch (RequestException $e) { die("请求失败: " . $e->getMessage()); } ?> ``` --- ### 最佳实践建议 1. **开发/测试环境**: - 使用方案 1(临时禁用验证) - 或使用方案 2(信任特定证书) 2. **生产环境**: - 使用方案 3(添加到系统信任) - 或使用受信任的 CA 证书替代自签名证书(如 Let's Encrypt) 3. **证书管理**: - 定期更新自签名证书(通常有效期 1 年) - 使用 `openssl x509 -in server-cert.pem -text -noout` 检查证书详情 4. **安全注意事项**: - 永远不要在生产环境中禁用 SSL 验证 - 自签名证书提供加密但不提供身份验证 - 考虑使用 mTLS双向 TLS)进行更严格的身份验证 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值