PHP配置OpenSSL自定义证书链教程

本文深入解析了PHP中配置OpenSSL自定义证书链的正确方法，明确指出常见的误区——如误以为修改系统级环境变量`openssl.capath`或调整`/etc/ssl/certs`目录即可让PHP HTTPS请求信任私有CA，实际上PHP完全不读取该变量；真正生效的方式必须显式指定可信根证书路径：可通过全局INI配置`openssl.cafile`或`curl.cainfo`、运行时流上下文中的`cafile`选项，或cURL的`CURLOPT_CAINFO`/`CURLOPT_CAPATH`（后者需配合`openssl rehash`生成哈希符号链接）；文章还强调了绝对路径、PEM格式、文件权限、中间证书完整性及快速验证技巧等关键实践细节，帮助开发者避开90%以上因证书配置不当导致的HTTPS连接失败问题。

openssl.capath 是什么，为什么不能直接改它

openssl.capath 不是 PHP 配置项，也不是 OpenSSL 库的运行时可写配置路径。它是 OpenSSL 命令行工具（如 curl、openssl s_client）在系统级查找 CA 证书目录时用的环境变量或编译常量，PHP 的 stream_context_create() 或 cURL 扩展默认**不读取也不尊重**这个变量。

常见误解是修改 /etc/ssl/certs 或设置 export openssl.capath=/my/certs 就能让 file_get_contents("https://...") 生效——实际完全无效。

• PHP 的 HTTPS 流封装器只认 openssl.cafile（INI 项）或上下文中的 cafile 选项
• cURL 扩展优先使用 CURLOPT_CAINFO 或 CURLOPT_CAPATH，与系统 openssl.capath 无关
• Linux 发行版中 /etc/ssl/certs 是被 update-ca-certificates 管理的符号链接集，手动改目录结构易被覆盖

PHP 中真正生效的证书链配置方式

要让 PHP 验证自定义证书链（比如内网 CA、测试根证书），必须显式指定可信根证书文件或目录，且路径需为绝对路径、证书格式为 PEM、权限可读。

推荐按优先级顺序使用以下方法之一：

• 全局 INI 配置（影响所有 HTTPS 请求）：
  openssl.cafile = "/path/to/your-root-ca.crt"（单个 PEM 文件）
  或
  curl.cainfo = "/path/to/your-root-ca.crt"（cURL 专用，但多数 HTTPS 封装器也兼容）
• 运行时流上下文（精准控制单次请求）：
  

  $ctx = stream_context_create([
      'http' => ['method' => 'GET'],
      'ssl' => [
          'cafile' => '/abs/path/to/root-ca.crt',
          'verify_peer' => true,
          'verify_peer_name' => true
      ]
  ]);

• cURL 显式设置（最灵活，支持证书目录）：
  curl_setopt($ch, CURLOPT_CAINFO, '/abs/path/to/root-ca.crt');
  或
  curl_setopt($ch, CURLOPT_CAPATH, '/abs/path/to/ca-directory');（注意：该目录下必须是 openssl rehash 生成的哈希链接，不是原始 PEM 文件）

用 CURLOPT_CAPATH 时必须执行 openssl rehash

如果选择用目录方式（CURLOPT_CAPATH），OpenSSL 要求目录内证书文件名是哈希值形式，例如 abcd1234.0，否则直接忽略整个目录——这是最容易卡住的点。

正确做法是：

• 把所有 PEM 格式根证书（包括中间 CA）放进一个空目录，如 /opt/my-ca-bundle/
• 运行：
  

  openssl rehash /opt/my-ca-bundle/

  （OpenSSL 1.1.1+ 自带；旧版本可能需用 c_rehash）
• 确认目录下生成了类似 2345abc1.0、def6789.0 的符号链接，指向原始 PEM 文件
• PHP 中传入该目录路径：curl_setopt($ch, CURLOPT_CAPATH, '/opt/my-ca-bundle/');

漏掉 rehash 步骤，CURLOPT_CAPATH 表面无报错，实则证书验证永远失败。

验证是否生效：别只看“没报错”

配置完别急着上线，用能明确触发证书验证失败的场景快速验证，比如访问一个用自签名证书或私有 CA 签发的 HTTPS 接口：

• 用 file_get_contents() + 上下文，观察是否抛出 SSL operation failed 或静默失败
• 用 cURL，开启详细日志：
  curl_setopt($ch, CURLOPT_VERBOSE, true);
  查看输出里是否有 * subjectAltName: host "xxx" matched cert's "xxx" 和 * SSL certificate verify ok.
• 临时把 cafile 指向一个空文件或错误路径，确认会立刻报 unable to get local issuer certificate —— 这说明配置路径已被加载

很多问题其实出在路径权限（PHP 进程用户不可读）、相对路径（上下文里写 ./ca.crt 在 CLI 和 Web 下行为不同）、或证书链不完整（只放了根证书，没放中间 CA）——这些比改 capath 本身更常导致失败。

好了，本文到此结束，带大家了解了《PHP配置OpenSSL自定义证书链教程》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！