根本原因是Composer依赖的PHP CA根证书包过期或缺失,需通过php -r "print_r(openssl_get_cert_locations());"确认实际证书路径,再用curl.se官方cacert.pem替换并配置php.ini中的openssl.cafile和curl.cainfo。
Composer 报 SSL certificate problem: certificate has expired 或类似错误(如 unable to get local issuer certificate),**根本原因不是你的网站证书过期,而是 Composer 运行时依赖的 CA 根证书包过期或缺失**——它用来验证 packagist.org 等 HTTPS 源的身份,不是验证你自己的域名。
确认 PHP 当前用的 CA 证书路径
Composer 本身不自带证书,它靠 PHP 的 OpenSSL 扩展和 cURL 模块读取系统级或配置指定的根证书文件。不查清路径就乱放 cacert.pem,大概率白忙活。
执行这条命令,立刻看到 PHP 实际加载的证书位置:
php -r "print_r(openssl_get_cert_locations());"
重点关注输出里的 ini_cafile 和 default_cert_file 字段。Windows 常见是 C:phpextrassslcacert.pem,macOS/Linux 多为 /etc/ssl/certs/ca-certificates.crt 或 /etc/pki/tls/cert.pem。
- 如果
ini_cafile是空值或路径不存在,说明 PHP 没配证书路径,必须补上 - 如果路径存在但文件老旧(比如是 2022 年前的版本),直接替换内容即可
- 别信“WAMP/XAMPP 自带证书”——很多精简版根本没装,或证书三年前就停更了
下载并配置最新 Mozilla CA 证书包
最稳妥的做法:用官方维护的、实时更新的根证书列表,替换掉本地陈旧的证书文件。
去官方源下载最新 cacert.pem:
→ https://www.php.cn/link/5fe4dadcdb001d8566cd20e6d8a20251(推荐,curl 官方长期维护)
下载后,按你上一步查到的路径存放(例如 Windows 放到 C:phpextrassslcacert.pem,macOS 替换 /etc/ssl/certs/cert.pem)。
然后打开 php.ini(用 php --ini 确认位置),确保这两行存在且路径正确:
openssl.cafile="/path/to/cacert.pem" curl.cainfo="/path/to/cacert.pem"
- 路径必须用正斜杠
/或双反斜杠\,单反斜杠在 Windows 下会解析失败 - 路径里不能有中文或空格,否则 PHP 可能静默忽略
- 改完
php.ini后,CLI 下无需重启服务,但 Web 服务器(Apache/Nginx)需 reload 或 restart 才生效
临时绕过验证仅限调试,且有明确限制
如果你在内网、离线环境或只是快速验证某个命令是否语法正确,可临时关 SSL 验证,但必须清楚后果:
运行:composer config --global secure-http false
⚠️ 注意:这不是关闭 TLS,而是告诉 Composer “允许仓库用 HTTP 协议”,而国内主流镜像(阿里云、腾讯云)已强制 HTTPS,设了这句反而导致 Could not parse version constraint 类报错。
- 真正想跳过证书校验,该用:
composer config --global disable-tls true(完全退化到 HTTP) - 但 packagist.org 官方源已禁用 HTTP,所以这招只对自建私有源或特定代理环境有效
- 生产环境、CI 流水线、团队协作项目中,禁止提交含
disable-tls或secure-http false的配置
顺手检查其他干扰项
CA 证书只是常见原因,但不是唯一原因。遇到仍报错,快速过一遍这些点:
-
系统时间错误:虚拟机、老笔记本、BIOS 电池没电都可能导致系统时间倒退几年,SSL 证书直接被判“未生效”。运行
date(Linux/macOS)或看右下角时间(Windows)确认 -
用了失效镜像源:某些小众镜像已停服或证书过期,执行
composer config -g --unset repos.packagist清掉,再设回阿里云:composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/ -
代理或防火墙拦截:公司网络常拦截 HTTPS 流量并替换证书,此时需联系 IT 部门获取内部 CA 证书,再按上文方式注入到
php.ini
真正卡住的时候,往往不是证书本身难换,而是没确认 PHP 到底读的是哪个文件——openssl_get_cert_locations() 这一行命令,比重装 PHP 或全网搜教程管用十倍。
