PHP配置MySQLSSL连接详解

本文详细讲解了在 Windows 下使用 phpEnv 集成环境为 MySQL 启用并验证 SSL 加密连接的完整实践路径，涵盖服务端证书生成与 my.cnf 配置、MySQL SSL 状态的手动验证、PHP 中 mysqli 和 PDO 两种方式的安全连接写法（特别强调避免常见陷阱如误用 ssl_set() 或忽略 sslmode 参数），以及 Windows 权限、路径格式、PHP 版本兼容性等极易被忽视却导致失败的关键细节，帮助开发者真正实现端到端可信 TLS 连接，而非徒有其表的“伪加密”。

phpEnv 是 Windows 下的 PHP 集成环境（类似 XAMPP、WAMP），它默认自带 MySQL，但不默认启用 SSL，也不预置可信 CA 证书。想让 PHP 通过 phpEnv 连上加密的 MySQL，关键不是“解密数据库”，而是让 mysqli 或 PDO 在连接时真正走 TLS 握手，并验证服务器身份——这需要服务端和客户端两头都配对，缺一不可。

确认 MySQL 服务端已启用 SSL（phpEnv 环境下常被忽略）

phpEnv 的 MySQL 默认关闭 SSL，即使你改了配置，也可能因路径错误或权限问题未生效。必须手动验证：

• 打开 phpEnv 自带的 MySQL 命令行（或使用 mysql -u root -p），执行：
  SHOW VARIABLES LIKE 'have_ssl'; —— 返回 YES 才算支持；若为 DISABLED，说明没启 SSL，后续所有 PHP 配置都白搭
• 再查：
  SHOW VARIABLES LIKE 'ssl_%'; —— 关注 ssl_ca、ssl_cert、ssl_key 是否有非空路径；若为空，需先生成证书并写入配置
• phpEnv 的 MySQL 配置文件通常在：C:\phpEnv\MySQL\my.ini（或 C:\phpEnv\MySQL\my.cnf），在 [mysqld] 段末尾添加三行（路径必须是绝对路径，且文件真实存在、PHP 进程可读）：
  ssl-ca=C:/phpEnv/MySQL/ssl/ca.pem
ssl-cert=C:/phpEnv/MySQL/ssl/server-cert.pem
ssl-key=C:/phpEnv/MySQL/ssl/server-key.pem
• 证书可使用 mysql_ssl_rsa_setup --datadir="C:/phpEnv/MySQL/data" --uid=mysql 生成（注意路径分隔符用正斜杠或双反斜杠），生成后把 ca.pem、server-cert.pem、server-key.pem 放到上述 ssl/ 目录，并确保 server-key.pem 权限为 600（Windows 下可用属性 → 安全 → 取消继承并仅保留 Administrators 和 SYSTEM）

PHP 代码中用 mysqli 启用 SSL：别调用 ssl_set()，直接传标志

phpEnv 的 PHP 版本通常 ≥7.4，mysqli 支持 MYSQLI_CLIENT_SSL 标志直连，**不需要也绝不该调用 mysqli::ssl_set()**——这是最常见坑：一调就报 tlsv1 alert unknown ca，因为 phpEnv 没配客户端证书，硬塞路径反而触发校验失败。

• 正确做法是：初始化连接后，在 real_connect() 第 7 个参数传 MYSQLI_CLIENT_SSL，例如：
  

  $mysqli = mysqli_init();<br>$mysqli->options(MYSQLI_OPT_SSL_MODE, MYSQLI_SSL_MODE_REQUIRED);<br>$mysqli->real_connect('127.0.0.1', 'secure_user', 'pass', 'testdb', 3306, null, MYSQLI_CLIENT_SSL);

• 务必在 real_connect() 前调用 options(MYSQLI_OPT_SSL_MODE, ...)，否则标志可能被忽略
• 连接成功后，立即检查是否真加密：
  $result = $mysqli->query("SHOW STATUS LIKE 'Ssl_cipher'");
var_dump($result->fetch_row()); —— 第二项不为 NULL 或空字符串才算成功
• 如果仍报错 unknown ca，说明 MySQL 用的是自签名证书，而 Windows 的 PHP OpenSSL 不信任它；此时最稳妥方案是把 ca.pem 内容追加到系统 OpenSSL 信任库（如 C:\phpEnv\PHP\extras\ssl\cacert.pem），或临时用 MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT（仅测试，生产禁用）

PDO 连接时 DSN 必须带 sslmode=REQUIRED，且 PHP ≥7.2

phpEnv 若用的是 PHP 7.1 或更早，sslca、sslcert 等 DSN 参数会被静默忽略——连接看似成功，实则走明文。必须确认版本：

• 运行 php -v 查看 PHP 版本；若 mysqli 方案
• DSN 示例（路径用正斜杠）：
  mysql:host=127.0.0.1;port=3306;dbname=testdb;charset=utf8mb4;sslmode=REQUIRED;sslca=C:/phpEnv/MySQL/ssl/ca.pem
• sslmode=REQUIRED 是强制项，不能省；sslca 路径必须指向服务端的 ca.pem（不是客户端证书），否则握手失败
• 创建 PDO 实例后，建议检查：
  var_dump($pdo->getAttribute(PDO::ATTR_SSL_MODE)); —— 应返回整数 2（对应 PDO::SSL_MODE_REQUIRED）

真正卡住的点往往不在 PHP 代码，而在 MySQL 配置路径是否真实可读、证书是否被 Windows 权限拦住、以及 PHP 版本是否吃透 sslmode 参数——这些细节一旦错位，错误信息几乎一样，但根因完全不同。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。