我有一个内部服务器(我的网络内部),我从外部服务器进行 REST API 调用。
我不知道它是否有帮助,但外部服务器运行 php 5.3.6 , cURL 7.19.7 。
使其更安全(防火墙框除了可以将我的内部服务器调用到我的外部服务器的静态IP地址的外部IP地址之外) ,我为内部服务器生成了自签名SSL服务器证书。
我还生成了一个客户端证书,供我的外部服务器在拨打电话时使用。
使用 cURL PHP库进行调用。进行调用的页面如下所示(此页面被创建为“概念证明”,以查看实际可以进行调用):
<?php
$mycurl = curl_init();
$verbose = fopen('curl_error_log','a');
$url_site = 'https://internal.server.com/api_test.php';
$options = array(
CURLOPT_HEADER => false
,CURLOPT_RETURNTRANSFER => true
,CURLOPT_VERBOSE => true
,CURLOPT_STDERR => $verbose
,CURLOPT_HTTPHEADER => array('Accept: application/json')
,CURLOPT_CAINFO => realpath('/certs/server/certs.pem')
,CURLOPT_CAPATH => realpath('/certs/server')
,CURLOPT_SSL_VERIFYPEER => true
,CURLOPT_SSL_VERIFYHOST => 2
,CURLOPT_SSLCERT => realpath('/certs/client.crt.pem')
,CURLOPT_SSLKEY => realpath('/certs/client.key.pem')
,CURLOPT_SSLCERTTYPE => 'PEM'
,CURLOPT_URL => $url_site
);
curl_setopt_array($mycurl, $options);
$webResponse = curl_exec($mycurl);
fclose($verbose);
?>
<html>
<head>
<title></title>
</head>
<body>
<p>Error: <?php echo curl_error($mycurl); ?></p>
<p>Error no.: <?php echo curl_errno($mycurl); ?></p>
<p>Result: <?php echo $webResponse; ?></p>
</body>
</html>
注意:此“概念验证”的上一次迭代,不使用客户端证书,效果非常好。在该版本中, CURLOPT_VERIFYPEER 和 CURLOPT_VERIFYHOST 设置为 FALSE ,所有 SSL ... 和 CA ... 选项不存在。
返回页面如下所示:
Error: SSL read: errno -12195
Error no.: 56
Result:
详细文件(curl_error_log)有:
* About to connect() to internal.server.com port 443 (#0)
* Trying 111.222.333.444... * connected
* Connected to internal.server.com (111.222.333.444) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /certs/server/certs.pem
CApath: /certs/server
* SSL connection using TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* Server certificate:
* subject: CN=internal.server.com,OU=BI,O=ABC Corp,L=City,ST=State,C=CO
* start date: Apr 13 15:15:38 2015 GMT
* expire date: Apr 12 15:15:38 2016 GMT
* common name: internal.server.com
* issuer: CN=internal.server.com,OU=BI,O=ABC Corp,L=City,ST=State,C=CO
> GET /api_test.php HTTP/1.1
Host: internal.server.com
Accept: application/json
* NSS: client certificate from file
* subject: CN=internal.server.com,OU=BI,O=ABC Corp,L=City,ST=State,C=CO
* start date: Apr 13 15:26:48 2015 GMT
* expire date: Apr 12 15:26:48 2016 GMT
* common name: internal.server.com
* issuer: CN=internal.server.com,OU=BI,O=ABC Corp,L=City,ST=State,C=CO
* SSL read: errno -12195
* Closing connection #0
关于我做错了什么或缺少什么的任何想法?为什么我会收到此错误?
编辑:我尝试使用 CURLOPT_SSLVERSION =&gt; 进行游戏。首先我将其设置为 3 ,错误稍有改变。我仍然得到完全相同的详细输出,但在底部,其中显示“ SSL读取:错误-12195 ”,它变为“ SSL读取:错误-12271 ” 。
然后我将版本更改为 2 ,之前崩溃,在详细输出的第6行附近给出了“ NSS错误-12268 ”。
最后,当我尝试 4 或 5 时,详细文件与上面完全相同。
感谢。
答案 0 :(得分:1)
在cURL网站上发布相同的问题之后,我得到了一些答案,这些答案给了我尝试的新想法并解决了问题,所以我决定将它们发布在这里,以防其他人遇到类似的问题:
第一个线索是错误代码本身(-12195,-12271,-12268)。有人给了我一个解释所有这些内容的网址:
http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html
我还回过头来重新生成了我的所有证书,遵循不同的配方并使用更具体的参数。我不能肯定地说它有所作为(错误不断发生),但是如果不这样做,我很确定下一步(最后一步使错误消失),不会起作用...... < / p>
最后一步(实际上是愚蠢的)是为CA证书文件使用不同的文件格式。我使用CRT而不是PEM。一旦我更改了它(没有任何其他更改),错误消失了,我的调用开始工作。
我希望它可以帮助那些人......