最稳妥的解法是让PHP信任目标服务器的证书链,而非关闭验证;需确保系统CA包完整、显式指定cafile路径,并识别中间代理行为,三者缺一不可。
直接跳过证书验证最简单,但不安全;真正稳妥的解法是让 PHP 信任目标服务器的证书链,而不是关掉验证。
curl_exec() 报 CURLOPT_SSL_VERIFYPEER 失败或 SSL certificate problem: unable to get local issuer certificate
这是 PHP 的 curl 默认开启证书校验导致的——它会检查 HTTPS 响应里的证书是否由本地可信 CA 签发。Windows 或某些 Linux 发行版没预装完整 CA 证书包,或者目标站用了私有 CA/自签名证书,就会卡在这儿。
- 别设
CURLOPT_SSL_VERIFYPEER => false(等同于关掉 TLS 安全底线) - 优先用系统级 CA 包:Linux 上确保
ca-certificates已安装并更新;macOS 用brew install ca-certificates - 若仍不行,可手动指定证书路径:
curl_setopt($ch, CURLOPT_CAINFO, '/path/to/cacert.pem');,推荐用 Mozilla 官方维护的cacert.pem(从 curl.se 下载) - PHP 8.2+ 还支持
CURLOPT_SSL_CERTINFO => true查看握手时拿到的证书详情,方便调试
file_get_contents() + stream_context_create() 遇到 SSL operation failed with code 1
这个错误本质和 curl 一样,只是触发位置不同。PHP 的 stream 层默认也校验证书,且不自动读取系统 CA 路径。
- 必须显式传入
cafile选项:'ssl' => ['cafile' => '/path/to/cacert.pem'] - 不能只写
'verify_peer' => false,否则会连带关闭verify_peer_name,导致域名校验失效,中间人攻击风险陡增 - 如果目标站点用的是通配符证书(如
*.api.example.com),要确认请求的 Host 名完全匹配,否则即使证书有效也会被 stream 拒绝 - 部分共享主机禁用
cafile,此时只能联系运维补全系统 CA,或改用已配置好证书路径的 cURL 封装
Composer 安装包时提示 Peer certificate CN=`xxx` did not match expected CN=`repo.packagist.org`
这不是 PHP 本身的问题,而是 Composer 底层用的 cURL 拿到了错误证书(比如公司代理重签了流量、DNS 劫持、hosts 文件误配)。
立即学习“PHP免费学习笔记(深入)”;
- 先执行
composer diagnose,它会显示当前使用的 CA 路径和是否启用验证 - 运行
openssl s_client -connect repo.packagist.org:443 -servername repo.packagist.org直接看证书链是否正常 - 若发现证书 CN 是内网地址或未知 CA,说明网络中间有 TLS 代理;此时需导出该代理的根证书,再通过
composer config -g cafile /path/to/proxy-root.crt告诉 Composer 信任它 - 切勿用
composer config -g secure-http false,这会让所有包下载退化为 HTTP,完全暴露依赖树
证书问题从来不是“关掉验证就完事”,关键是让 PHP 知道该信谁。系统 CA 包、明确的 cafile 路径、以及对中间代理行为的识别,这三者缺一不可。最容易被忽略的是:很多开发者修好了 curl,却忘了 stream 和 Composer 各自维护一套 SSL 配置。
