開発にはXAMPPを使用しています。最近、xamppのインストールを古いバージョンから1.7.3にアップグレードしました。

HTTPS対応のサイトをカールすると、次の例外が発生します

致命的なエラー：キャッチされなかった例外 'RequestCore_Exception'とメッセージ 'cURL resource：Resource id＃55; cURLエラー：SSL証明書に問題があります。CA証明書に問題がないことを確認してください。詳細：エラー：14090086：SSLルーチン：SSL3_GET_SERVER_CERTIFICATE：証明書の検証に失敗しました（60） '

この問題を修正するには、PHPコードの特定のカールオプションを使用することをお勧めします。私はこれが方法であってはならないと思います。私の古いバージョンのXAMPPには何の問題もなく、新しいバージョンをインストールした後にのみ発生したためです。

私のPHPインストールでどの設定が変更されたかを理解するのに助けが必要です。Apacheなどがこの問題を修正できます。

curlには、受け入れられたCAのリストが含まれていましたが、CA証明書をバンドルしなくなりました。そのため、デフォルトでは、すべてのSSL証明書を検証不能として拒否します。

CAの証明書を取得して、curlを指す必要があります。詳細については、cURLSのサーバーSSL証明書に関する詳細をご覧ください。

これはWindowsでかなり一般的な問題です。あなたは必要なだけのセットにcacert.pemしますcurl.cainfo。

PHP 5.3.7以降、次のことができます。

1. https://curl.haxx.se/ca/cacert.pemをダウンロードして、どこかに保存します。
2. 更新php.ini-curl.cainfo = "PATH_TO / cacert.pem"を追加

それ以外の場合は、cURLリソースごとに以下を実行する必要があります。

curl_setopt ($ch, CURLOPT_CAINFO, "PATH_TO/cacert.pem");

警告：これにより、SSLが保護するように設計されたセキュリティ問題が発生し、コードベース全体が安全でなくなります。それはすべての推奨されるプラクティスに反します。

しかし、私にとってうまくいった本当に簡単な修正は、電話することでした：

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

呼び出す前に：

curl_exec():

phpファイル内。

これにより、SSL証明書の検証がすべて無効になると思います。

出典：http : //ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

Curl：SSL証明書の問題、CA証明書に問題がないことを確認してください

2006年4月7日

Curlで安全なURLを開くと、次のエラーが発生する場合があります。

SSL証明書の問題、CA証明書に問題がないことを確認してください

エラーの理由と対処方法を説明します。

エラーを取り除く最も簡単な方法は、次の2行をスクリプトに追加することです。このソリューションには、セキュリティ上のリスクがあります。

//WARNING: this would prevent curl from detecting a 'man in the middle' attack
curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0); 

この2つのパラメーターの機能を見てみましょう。マニュアルを引用。

CURLOPT_SSL_VERIFYHOST：1は、SSLピア証明書内の共通名の存在を確認します。2は、一般名の存在を確認し、提供されたホスト名と一致することを確認します。

CURLOPT_SSL_VERIFYPEER：CURLがピアの証明書を検証しないようにする場合はFALSE。検証する代替証明書は、CURLOPT_CAINFOオプションで指定するか、CURLOPT_CAPATHオプションで証明書ディレクトリを指定できます。CURLOPT_SSL_VERIFYPEERが無効になっている場合（デフォルトは2）、CURLOPT_SSL_VERIFYHOSTもTRUEまたはFALSEにする必要があります。CURLOPT_SSL_VERIFYHOSTを2（これはデフォルト値です）に設定すると、提示されている証明書に、リモートリソースへのアクセスに使用しているURNと一致する「共通名」があることが保証されます。これは健全なチェックですが、プログラムが騙されていないことを保証するものではありません。

「真ん中の男」を入力してください

代わりに、プログラムが別のサーバーと通信するように誤解される可能性があります。これは、DNSやARPポイズニングなどのいくつかのメカニズムによって実現できます（これは別の日の話です）。侵入者は、プログラムが予期しているのと同じ「コモン名」で証明書に自己署名することもできます。通信は引き続き暗号化されますが、あなたの秘密は詐欺師に渡されます。この種の攻撃は「中間者」と呼ばれます

「真ん中の男」を倒す

まあ、私たちに提示されている証明書が実際に良いことを確認する必要があります。これは、妥当な*信頼できる証明書と比較することで行われます。

リモートリソースがVerisignやGeoTrustなどのメインCAのいずれかによって発行された証明書で保護されている場合は、http：//curl.haxx.se/docs/caextractから取得できるMozillaのCA証明書バンドルと安全に比較でき ます。 .html

cacert.pemサーバーのどこかにファイルを保存し、スクリプトで次のオプションを設定します。

curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, TRUE); 
curl_setopt ($ch, CURLOPT_CAINFO, "pathto/cacert.pem");

上記のすべての情報クレジットの場合：http : //ademar.name/blog/2006/04/curl-ssl-certificate-problem-v.html

上記の解決策は素晴らしいですが、WampServerを使用している場合、curl.cainfo変数の設定がphp.ini機能しないことがあります。

最終的に、WampServerには2つのphp.iniファイルがあることがわかりました。

C:\wamp\bin\apache\Apachex.x.x\bin
C:\wamp\bin\php\phpx.x.xx

1つ目は、Webブラウザを通じてPHPファイルが呼び出された場合に使用され、2つ目は、コマンドラインまたはからコマンドが呼び出された場合に使用されshell_exec()ます。

TL; DR

WampServerを使用している場合は、両方のファイルにcurl.cainfo行を追加する必要があります。 php.ini

神聖なすべての愛のために...

私の場合、openssl.cafilePHP構成変数をPEMファイルパスに設定する必要がありました。

curl.cainfoPHPの構成での設定がまさに必要なシステムがある多くのシステムがあることは非常に本当ですが、私が作業している環境では、Debian 8（jessie）とPHPを使用するeboraas / laravel Dockerコンテナーです5.6、その変数を設定してもうまくいきませんでした。

の出力にphp -iはその特定の構成設定について何も記述されていないことに気付きましたが、には数行ありましたopenssl。openssl.capathとopenssl.cafileオプションの両方がありますが、2番目のものを設定するだけで、PHP経由のcurlがHTTPS URLで問題なく機能するようになりました。

連絡しようとするアプリケーションに自己署名証明書がある場合、http： //curl.haxx.se/ca/cacert.pemの通常のcacert.pem では問題が解決しないことがあります。

サービスエンドポイントのURLが確かな場合は、ブラウザからアクセスし、証明書を「X 509証明書（チェーン付き）（PEM）」形式で手動で保存します。この証明書ファイルを

curl_setopt ($ch, CURLOPT_CAINFO, "pathto/{downloaded certificate chain file}");   

Amazon AMI Linuxでも同じエラーが発生します。

/etc/php.d/curl.iniにcurl.cainfoを設定することで解決しました

https://gist.github.com/reinaldomendes/97fb2ce8a606ec813c4b

追加2018年10月

Amazon Linux v1では、このファイルを編集します

vi /etc/php.d/20-curl.ini

この行を追加するには

curl.cainfo="/etc/ssl/certs/ca-bundle.crt"

CURLOPT_CAINFOのカールオプションを設定するときは、一重引用符を使用してください。二重引用符を使用しても、別のエラーが発生するだけです。したがって、オプションは次のようになります。

curl_setopt ($ch, CURLOPT_CAINFO, 'c:\wamp\www\mywebfolder\cacert.pem');

さらに、php.iniファイルの設定は次のように記述する必要があります（私の二重引用符に注意してください）

curl.cainfo = "C:\wamp\www\mywebfolder"

私はこれを言う行の真下にそれを置きます： extension=php_curl.dll

（整理目的でのみ、内のどこにでも置くことができますphp.ini。別のカール参照の近くに置くだけなので、キーワードカールを使用して検索すると、1つの領域で両方のカール参照を見つけることができます。）

GuzzleHttp（Macではphp + apache）を取得してwww.googleapis.comからページを取得しようとすると、ここに到達しました。

これが誰かを助けるための私の最終的な解決策です。

このエラーが発生しているドメインの証明書チェーンを確認します。私にとってはgoogleapis.comでした

openssl s_client -host www.googleapis.com -port 443

次のようなものが返されます。

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.googleapis.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

注：問題を修正した後、これをキャプチャしました。チェーン出力が異なる場合があるためです。

次に、phpで許可されている証明書を確認する必要があります。ページでphpinfo（）を実行します。

<?php echo phpinfo();

次に、ページ出力から読み込まれた証明書ファイルを探します。

openssl.cafile  /usr/local/php5/ssl/certs/cacert.pem

これは、正しい証明書を追加して修正する必要があるファイルです。

sudo nano /usr/local/php5/ssl/certs/cacert.pem

基本的に、このファイルの最後に正しい証明書の「署名」を追加する必要があります。

それらのいくつかはここで見つけることができます。必要に応じて、チェーン内の他のユーザーをgoogle /検索する必要がある場合があります。

• https://pki.google.com/
• https://www.geotrust.com/resources/root-certificates/index.html

彼らはこのように見えます：

（注：これはイメージであるため、人々は単にstackoverflowから証明書をコピー/貼り付けしないでください）

このファイルに適切な証明書を入力したら、Apacheを再起動してテストします。

ここでca-certificates説明するように、パッケージを再インストールするか、問題の証明書を明示的に許可することができます。

解決策は非常に簡単です！この行を前に置きますcurl_exec：

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

私にとってはうまくいきます。