Composer信任本地自签名证书的正确方法是将其根证书加入OpenSSL信任链或通过COMPOSER_CAFILE指定路径,而非禁用SSL验证;需确保证书为PEM格式、路径正确,并执行composer clear-cache生效。
在本地开发环境中,Composer 默认会验证 HTTPS 连接的 SSL 证书。如果你使用自签名证书(比如用 mkcert、OpenSSL 或 Laravel Valet 生成的本地 CA),Composer 会报错:cURL error 60: SSL certificate problem。解决方法不是禁用 SSL 验证(不安全),而是让 Composer 信任你本地的根证书。
将本地根证书加入 OpenSSL 的信任链
Composer 底层依赖系统级的 OpenSSL(或 cURL)来处理 HTTPS 请求。你需要把你的自签名根证书(例如 rootCA.pem)添加到 OpenSSL 默认读取的证书包中。
- 找到 OpenSSL 的 CA 包路径:运行
php -r "print_r(openssl_get_cert_locations());",关注default_cert_file或capath值 - 将你的根证书(如
~/Downloads/rootCA.pem)追加到该文件末尾:cat ~/Downloads/rootCA.pem >> /usr/local/etc/openssl/cert.pem(macOS Homebrew)或对应路径 - 如果使用
capath目录方式,需用openssl x509 -hash -noout -in rootCA.pem获取哈希值,然后软链接:ln -s rootCA.pem 23456789.0
配置 Composer 使用自定义 CA 文件
更可控的方式是让 Composer 显式使用你指定的证书文件,无需改动系统级配置。
- 设置环境变量(临时):
export COMPOSER_CAFILE="/path/to/your/rootCA.pem" - 或写入 Composer 全局配置:
composer config -g cafile /path/to/your/rootCA.pem - 验证是否生效:
composer config -g cafile应输出路径;再执行composer diagnose,确认 “The openssl extension is loaded” 和 “The cafile setting is correct”
配合本地 HTTPS 开发服务(如 Valet、Docker)
如果你用 Laravel Valet 或自建 Nginx/Apache + HTTPS,确保:
- 根证书已由系统(macOS Keychain / Windows Certificate Manager)信任,并且 PHP 的 OpenSSL 能读取它(部分 PHP 安装不自动继承系统钥匙串)
- 在 Docker 环境中,需将
rootCA.pem复制进容器,并通过COMPOSER_CAFILE指向它,或挂载到默认证书路径 - 运行
composer clear-cache后再试,避免旧缓存干扰
不推荐但偶有用处的备选方案
仅限绝对隔离的本地测试,切勿用于 CI 或共享环境:
- 临时跳过验证(危险):
composer config -g secure-http false—— 这会让 Composer 允许 HTTP 包仓库,不解决证书问题本身 - 强制关闭 SSL 验证(极不安全):
git config --global http.sslVerify false(影响 Git)或修改 cURL 配置(不推荐)
核心原则是让 Composer 知道并信任你的私有 CA,而不是绕过验证。只要证书路径正确、格式为 PEM、且被 OpenSSL 加载,就能正常安装包。
