卷曲失败,错误#58:无法使用客户端证书(找不到密钥或错误的密码短语?)

时间:2014-11-17 16:07:14

标签: php ssl curl

我收到此错误: 致命错误:卷曲失败,错误#58:无法使用客户端证书(未找到密钥或错误的密码短语?)

我有一个脚本可以从.p12文件中提取证书信息。我认为这是问题,但是我使用它来粘贴生成的.pem文件的内容: https://www.sslshopper.com/certificate-decoder.html它解码/看到一切都很好。所以我假设.pem没问题。

$ch = curl_init();
            curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
                  curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0); 
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
            curl_setopt($ch, CURLOPT_SSLCERT, 'cert.pem'); 
            curl_setopt($ch, CURLOPT_TIMEOUT, 10);
            curl_setopt($ch, CURLOPT_POST, true);
            curl_setopt($ch, CURLOPT_POSTFIELDS, $xml_post_string);
            curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
            // converting
            $response = curl_exec($ch); 
            // converting
            $response1 = str_replace("<soap:Body>","",$response);
            $response2 = str_replace("</soap:Body>","",$response1);
            if($response === false){
              throw new Exception(curl_error($ch), curl_errno($ch));
            }

pem文件是这样的:

-----BEGIN CERTIFICATE-----
<cert bla bla>
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
<key bla bla>
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
<cert bla bla>
-----END CERTIFICATE-----–

欢迎任何建议。

由于

1 个答案:

答案 0 :(得分:-2)

首先是几条评论:

  • 使用这些设置you're opening yourself to potential MITM attacks

    curl_setopt ($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, 0);

    您通常需要VERIFYHOST=2VERIFYPEER=true(无论如何都应该是默认值)。 正确执行验证还意味着您需要在CAINFO或CAPATH中设置CA证书或服务器证书。我在这里引用PHP/curl documentation for this option

      

    可以使用CURLOPT_CAINFO选项指定要验证的备用证书,也可以使用CURLOPT_CAPATH选项指定证书目录。

  • 将您的私钥(在-----BEGIN PRIVATE KEY-----区块中)粘贴到一个您不了解的远程网站上并不是一个好主意。您的私钥是保密的。您可以使用openssl x509openssl rsa来检查格式是否符合预期。

libcurl分别有两个选项:CURLOPT_SSLCERTCURLOPT_SSLKEY,分别用于证书及其私钥。我必须承认我最近没有尝试过PHP cURL绑定,有些工具确实会让你把证书和私钥放在同一个文件中(就像你已经完成的那样),但是{{{{{{ {3}}建议你可以这样做,PHP documentation中没有提到这一点(你在这里没有使用P12格式)。另外,libcurl本身没有文档CURLOPT_SSLCERTPASSWD(这对于cert文件中的密码保护密钥有意义),因此PHP绑定和libcurl本身可能会有一些细微差别(你&# 39; ll发现大多数其他选项几乎都是直接映射。)

我建议将-----BEGIN/END PRIVATE KEY-----之间的内容移到单独的文件中,并将CURLOPT_SSLKEY指向该文件路径,并保留证书(可能是其链,以下证书) )使用当前设置。确保证书链的顺序正确,尤其要确保第一个证书链是您的客户端证书(您拥有私钥)。您可以通过将每个-----BEGIN/END CERTIFICATE-----块的内容粘贴到openssl x509 -text -noout的标准输入中来检查它们的内容。这些块中的每一个都将为您提供主题和发行者。主题X和发行人Y的证书后面应跟有主题Y和发行人Z的证书(依此类推)。

相关问题
最新问题