composer 的 ca-bundle 配置仅作用于自身 https 请求,需分别配置全局或项目级路径(推荐绝对路径),且不影响 php 其他组件;docker 中需同步确保 php.ini 的 curl.cainfo 与 composer 配置一致。

composer config ca-bundle 指向自定义证书文件
Composer 默认用系统或 OpenSSL 内置的 CA 证书包验证 HTTPS 连接,如果公司内网用了私有根证书、或系统证书路径异常(比如 Alpine 容器没装 ca-certificates),就会报 SSL certificate problem: unable to get local issuer certificate。这时候不能硬改 Composer 源码,得通过配置让 composer 主动信任你的证书包。
实操建议:
- 把 PEM 格式的根证书(或合并后的 bundle 文件)放到一个稳定路径,比如
/etc/ssl/certs/my-company-ca.crt - 运行命令写入全局配置:
composer config -g ca-bundle /etc/ssl/certs/my-company-ca.crt - 验证是否生效:执行
composer config -g ca-bundle,应输出你指定的路径 - 注意:该配置只影响当前用户下的
composer命令,不作用于 PHP 的 cURL 或其他工具
为什么 vendor/bin/composer 不读取全局 ca-bundle 配置
如果你用的是项目本地安装的 composer(即 vendor/bin/composer),它默认忽略全局配置(COMPOSER_HOME 下的 config.json),只读取项目根目录下的 composer.json 中的 config.ca-bundle 字段。
常见错误现象:全局配了 ca-bundle,但跑 vendor/bin/composer install 依然报 SSL 错误。
解决方法:
- 在项目
composer.json的config节里显式声明:"config": { "ca-bundle": "/etc/ssl/certs/my-company-ca.crt" } - 或者直接用命令写入项目级配置:
php vendor/bin/composer config ca-bundle /etc/ssl/certs/my-company-ca.crt - 别漏掉
composer.json修改后要git add composer.json—— 否则 CI 环境会因缺少该配置失败
ca-bundle 路径是相对路径时怎么解析
Composer 对 ca-bundle 的路径处理很朴素:它不做任何自动补全或环境变量展开,只做字面量拼接。一旦填了相对路径,就会以「执行 composer 命令时所在的目录」为基准解析。
使用场景:有人想把证书文件放在项目里(如 certs/ca-bundle.crt),然后配 "ca-bundle": "certs/ca-bundle.crt"。
风险点:
- 如果在子目录下运行
composer update(比如cd src && composer update),路径会变成src/certs/ca-bundle.crt,文件就找不到了 -
composer install在 CI 中常被脚本切换目录执行,相对路径极易失效 - Windows 下反斜杠
\不被识别,必须用正斜杠/或双反斜杠
稳妥做法:一律用绝对路径,或用 ${COMPOSER_HOME} 变量(仅限全局配置)——但注意 ${COMPOSER_HOME} 不会在项目级 composer.json 中展开。
PHP cURL 扩展和 Composer 的证书信任不是一回事
很多人以为配好 ca-bundle 就万事大吉,结果发现 file_get_contents('https://...') 或 Guzzle 请求仍失败。这是因为 Composer 自己用 cURL 发请求时,会把 ca-bundle 路径传给 curl_setopt($ch, CURLOPT_CAINFO, ...);但 PHP 其他地方的 HTTPS 请求,默认走的是 cURL 的编译时设定(CURLOPT_CAPATH 或系统默认 bundle),不受 Composer 配置影响。
关键区别:
-
composer config ca-bundle只控制 Composer 自身的 HTTP 客户端行为 - PHP 的
openssl.cafile或curl.cainfoini 设置,才影响整个 PHP 进程的 SSL 验证 - 若要统一,推荐在
php.ini里设curl.cainfo = /etc/ssl/certs/my-company-ca.crt,比到处配 Composer 更可靠
容易被忽略的地方:Docker 构建中,php.ini 和 composer config 往往分属不同层,改了一个不等于另一个也生效。查问题时得分别确认两者是否都指向了正确的证书路径。










