很多人在使用 Facebook 身份验证时遇到的错误是:
CurlException: 60: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
我能找到的唯一信息建议将以下代码行添加到 curl:
$opts[CURLOPT_SSL_VERIFYPEER] = false;
$opts[CURLOPT_SSL_VERIFYHOST] = 2;
我知道这行得通,但是这里发生了什么?是否有任何服务器设置/配置可以更改而不是破解 facebook.php。
以下代码告诉 cURL 不验证安全证书是否正确。因此,错误消失了。
$opts[CURLOPT_SSL_VERIFYPEER] = false;
$opts[CURLOPT_SSL_VERIFYHOST] = 2;
当您使用 SSL 连接到远程服务器时,其证书可能无效、过期或未由公认的 CA 签名。cURL 通常会检查它。
CURLOPT_SSL_VERIFYHOST:
CURLOPT_SSL_VERIFYPEER: FALSE 阻止 CURL 验证对等方的证书。可以使用 CURLOPT_CAINFO 选项指定要验证的备用证书,也可以使用该选项指定证书目录CURLOPT_CAPATH。如果 CURLOPT_SSL_VERIFYPEER 被禁用(默认为 2),CURLOPT_SSL_VERIFYHOST 也可能需要为 TRUE 或 FALSE。
为了正确验证,我们需要验证提供给我们的证书是真实的。我们通过将其与我们合理*信任的证书进行比较来做到这一点。
如果远程资源受 Verisign、GeoTrust 等主要 CA 颁发的证书保护,您可以安全地与 Mozilla 的 CA 证书包进行比较,您可以从http://curl.haxx.se/docs/caextract获得.html
将文件 cacert.pem 保存在服务器中的某个位置,并在脚本中设置以下选项。
curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, TRUE);
curl_setopt ($ch, CURLOPT_CAINFO, "pathto/cacert.pem");
如果您要连接到受自签名证书保护的资源,您需要做的就是获取 PEM 格式的证书副本并将其附加到上一段的 cacert.pem 中。
就我而言,我无法使用 curl_setopt,因为我无法编辑 Facebook API 类(我正在从事的项目的条件)。
我通过将从http://curl.haxx.se/docs/caextract.html下载的 cacert.pem 的路径添加到我的 php.ini来解决了这个问题
[curl]
curl.cainfo = "c:\wamp\cacert.pem"
我刚刚遇到了同样的问题,在我的情况下禁用对等验证是不可接受的。我更新了 fa_ca_chain_bundle.crt 文件(来自facebook 的 gitbub),它现在可以工作了。
问候, 马雷克